Cómo proteger a su organización contra la amenaza Snatch ransomware


Descubierto y analizado por el proveedor de seguridad Sophos, Snatch intenta evitar el computer software de seguridad tradicional reiniciando su Pc en modo seguro.

El Modo a prueba de errores de Windows intenta ayudarlo a solucionar varias enfermedades reiniciando su Computer de manera sencilla sin cargar ciertos computer software, controladores o servicios. Ese proceso también evita que se cargue el software antivirus. Y eso lleva a una táctica empleada por una variedad particularmente peligrosa de ransomware.

Conocido como Snatch, el ransomware descrito por Sophos en un publicación de noticias el lunes, obliga a una Computer con Windows a reiniciarse en modo seguro, evitando así que se ejecute cualquier antivirus o program de seguridad. Snatch, que se ejecuta como un servicio durante el Modo a prueba de fallos, cifra el disco duro de la víctima e intenta obligar al usuario a pagar el rescate necesario para poder acceder al disco nuevamente.

VER: Ransomware: lo que los profesionales de TI necesitan saber (PDF gratuito) (TechRepublic)

Sophos se encontró con Snatch el año pasado y dijo que cree que el ransomware ha estado activo desde el verano de 2018. A mediados de octubre de 2019, el proveedor de seguridad tuvo que ayudar a una organización específica a investigar y resolver un brote de ransomware. Al ver a Snatch en el trabajo, Sophos cree que el componente Modo seguro es una táctica recién agregada.

¿Qué es el arranque?

El malware Snatch comprende una colección de herramientas. La característica de ransomware y un ladrón de datos separado probablemente fueron creados por los cibercriminales para controlar el malware, según Sophos. También en la mezcla hay un Golpe de cobalto reverse-shell y varias herramientas disponibles públicamente que no son maliciosas por sí mismas pero que son utilizadas por los administradores del sistema y los probadores de penetración.

Creada con el programa Go de Google, la variante Snatch vista por Sophos solo puede ejecutarse en Windows, incluidas todas las versiones de la 7 a la 10 y en las ediciones de 32 bits y de 64 bits. Las muestras de Snatch analizadas se empacaron con el empaquetador de código abierto UPX para ocultar su contenido.

Los delincuentes detrás de Snatch, que se hacen llamar el Equipo Snatch, utilizan un modelo de ataque automatizado activo en el que intentan superar las redes empresariales a través de ataques automáticos de fuerza bruta contra cuentas y servicios vulnerables. Una vez dentro, los miembros del equipo Snatch intentan extender su ataque internamente dentro de la red de una organización. Un tipo de malware utilizado en los ataques Snatch también ha estado robando una gran cantidad de datos de las organizaciones objetivo.

En un incidente contra una gran empresa, Sophos descubrió que los atacantes forzaron la contraseña a la cuenta de un administrador en un servidor de Microsoft Azure y luego pudieron iniciar sesión en el servidor utilizando el Protocolo de escritorio remoto (RDP). Los atacantes utilizaron esa misma cuenta para iniciar sesión en un controlador de dominio en la misma crimson, lo que les permitió ejecutar la vigilancia en la crimson durante varias semanas. En este incidente, los delincuentes lograron instalar software package de vigilancia en alrededor de 200 máquinas, aproximadamente el 5% de las computadoras en la purple de esta organización.

Cómo funciona

En algún momento durante un ataque, la pieza de ransomware se descarga en una computadora objetivo. El ransomware se instala como un servicio de Windows llamado SuperBackupMan, que se configura inmediatamente antes de que la Computer comience a reiniciarse, lo que le da a la organización poca o ninguna posibilidad de detener el servicio a tiempo.

Luego, los atacantes utilizan el acceso de administrador para ejecutar la herramienta de línea de comandos BCDEDIT de Windows para forzar un reinicio inmediato de la computadora en Modo a prueba de errores. Después de reiniciar la Personal computer, el malware utiliza un comando de Home windows llamado vssadmin.exe para eliminar todas las instantáneas de volumen en el sistema, evitando así la recuperación de los archivos cifrados por el ransomware. Finalmente, el ransomware encripta documentos en el disco duro.

Sophos dijo que su protección de seguridad de punto remaining fue capaz de detectar la carga útil de ransomware para sus clientes, evitando así que infecte las máquinas con el producto. Pero otra compañía llamó Coveware, que maneja las negociaciones de extorsión entre víctimas de ransomware y atacantes, le dijo a Sophos que había negociado con delincuentes de Snatch 12 veces este año entre julio y octubre. Las demandas de rescate en Bitcoin oscilaron entre $ 2,000 y $ 35,000, pero aumentaron durante esos cuatro meses.

Consejos de protección

Para proteger su organización contra este tipo de ransomware, Sophos ofrece varios consejos:

  • No exponga su interfaz de Escritorio remoto a acceso a World wide web sin protección. Sophos recomienda que las organizaciones se abstengan de exponer la interfaz de Escritorio remoto a Online sin protección. Las organizaciones que necesitan permitir el acceso remoto a las máquinas deben ponerlos detrás de una VPN en su pink, para que nadie pueda acceder a ellos sin credenciales de VPN.
  • Asegure sus otras herramientas de acceso remoto. En una publicación en un tablero de mensajes criminales, los atacantes de Snatch querían contratar o contactar con otros delincuentes capaces de entrar en redes utilizando herramientas de acceso remoto como VNC y TeamViewer. También buscaban personas con experiencia en el uso de shells net o pirateo de servidores SQL mediante ataques de inyección SQL. Cualquier herramienta de acceso remoto con conexión a Online y otros programas vulnerables presentan riesgos si se dejan desatendidos.
  • Utilice el autenticador multifactor para administradores. Las organizaciones deben configurar la autenticación multifactor para los usuarios con privilegios administrativos para que sea más difícil para los atacantes forzar por fuerza bruta esas credenciales de cuenta.
  • Inventario de sus dispositivos. La mayoría de los puntos de acceso iniciales y puntos de apoyo que Sophos encontró en relación con Snatch estaban en dispositivos desprotegidos y no monitoreados. Las organizaciones deben realizar verificaciones de inventario periódicas y exhaustivas de todos los dispositivos para asegurarse de que no existan vacíos.
  • Busque amenazas en su crimson. El ransomware Snatch entró en acción después de que los atacantes tuvieron varios días de acceso no detectado y sin inhibiciones a la purple. Un programa completo de búsqueda de amenazas podría identificar este tipo de actividad antes de que el ransomware tenga la capacidad de establecerse.

Ver también

istock-936338884-2.jpg

Código de computadora en una pantalla con una calavera que representa un ataque de virus / malware de computadora.

solarseven, Getty Visuals / iStockphoto



Enlace a la noticia unique