Un ransomware se fait passer pour un produit de Sophos

Le groupe de chercheurs en cybersécurité MalwareHunterTeam a mis en ligne, le 17 juillet 2023, une analyse d’un nouveau rançongiciel, assorti de captures d’écran de son exécution. Le malware est très classique : il chiffre les données d’un SI et installe une demande de rançon dans les dossiers chiffrés. Seule originalité : durant son exécution, les fenêtres qui s’ouvrent portent un nom destiné à faire confiance, « Encryption Program – SOPHOS ».

Donner au rançongiciel le nom de la société de cybersécurité Sophos peut rassurer une victime peu avertie, qui aura donc davantage tendance à laisser le processus s’achever. Même l’équipe de MalwareHunterTeam a d’abord cru à un produit légitime de Sophos effectuant un test de sécurité.

Contacté, Sophos a confirmé qu’il s’agissait bien d’un ransomware, sans lien avec ses produits. Mieux, la société de cybersécurité a indiqué que ses propres outils bloquaient l’exécution de ce « Sophos Encryption ». Selon MalwareHunterTeam, le rançongiciel fonctionne sur le modèle d’un Ransomware-as-a-Service (RaaS), loué à des tiers par ses créateurs.