Snatch ransomware reinicia las Computer en modo seguro de Home windows para evitar las aplicaciones antivirus


Los autores del ransomware Snatch están utilizando un truco nunca antes visto para evitar el program antivirus y encriptar los archivos de las víctimas sin ser detectados.

El truco se basa en reiniciar una computadora infectada en modo seguro y ejecutar el proceso de cifrado de archivos del ransomware desde allí.

La razón de este paso es que la mayoría del software antivirus no se inicia en el Modo seguro de Home windows, un estado de Windows destinado a depurar y recuperar un sistema operativo corrupto.

Sin embargo, el equipo de Snatch descubrió que podían usar una clave de registro de Home windows para programar un servicio de Windows para que se inicie en modo seguro. Este servicio ejecutaría su ransomware en modo seguro sin el riesgo de ser detectado por un software antivirus y que se detuviera su proceso de cifrado.

El truco del modo seguro fue descubierto por el equipo de respuesta a incidentes de Sophos Labs, a quien llamaron para investigar una infección de ransomware en las últimas semanas. Su equipo de investigación dice que esto es un gran problema, y ​​un truco que podría ser adoptado rápidamente por otros equipos de ransomware también.

«SophosLabs considera que no se puede exagerar la gravedad del riesgo que representa el ransomware que se ejecuta en modo seguro, y que necesitábamos publicar esta información como una advertencia para el resto de la industria de la seguridad, así como para los usuarios finales», Andrew Brandt , dijo un investigador de malware y forense de redes en Sophos un informe publicado hoy.

Snatch, otro cazador de caza mayor

Los investigadores de Sophos dicen que este es el último truco del equipo de Snatch, pero no el primero. Esta pandilla de ransomware en distinct ha estado operando desde el verano de 2018, pero hasta el día de hoy, muy pocos han oído hablar de esta cepa.

Esto sucedió porque el equipo de Snatch nunca se dirigió a usuarios domésticos ni usó métodos de distribución masiva como campañas de correo electrónico no deseado o kits de explotación basados ​​en navegador, dos canales de distribución que tienden a llamar mucho la atención de las empresas de seguridad cibernética.

En cambio, el equipo de Snatch fue solo después de una pequeña lista de objetivos cuidadosamente seleccionados, como empresas y organizaciones públicas o gubernamentales.

Este tipo de focalización y metodología se conoce en el campo de la seguridad cibernética como «caza mayor» y es una estrategia ampliamente adoptada por múltiples equipos de ransomware en la actualidad.

La plan detrás de la caza mayor es que, en lugar de perseguir las pequeñas tarifas de rescate que los autores de malware pueden extraer de los usuarios domésticos, los delincuentes persiguen a grandes corporaciones y organizaciones gubernamentales, desde donde pueden solicitar tarifas de rescate que son cientos de miles de veces más grandes .

Ransomware como Ryuk, SamSam, Matrix, BitPaymer y LockerGoga son sus típicos cazadores de grandes juegos.

Equipo de Snatch visto reclutando hackers en foros de hacking

Todas las pandillas de ransomware mencionadas anteriormente tienen su propia metodología para violar las redes de sus objetivos respectivos, y también lo hace Snatch.

Según Sophos, el grupo se abre paso en la crimson de una empresa. Los investigadores dicen que rastrearon anuncios que el equipo de Snatch ha publicado en foros de piratería, anuncios destinados a reclutar socios para su esquema.

Según una traducción del anuncio, el equipo de Snatch estaba «buscando socios afiliados con acceso a RDP VNC TeamViewer WebShell SQL inj (inyección SQL) en redes corporativas, tiendas y otras compañías».

snatch-forum-ad.png

Imagen: Sophos

El equipo de Sophos dice que el equipo de Snatch compraría el acceso a una crimson pirateada, o trabajaría con otro pirata informático para violar una empresa deseada.

Una vez dentro, rara vez se mudaron de inmediato para instalar el ransomware y cifrar archivos de inmediato. En cambio, el equipo de Snatch se demoró en una empresa pirateada durante días o incluso semanas.

Los piratas informáticos esperarían su tiempo y escalarían lentamente el acceso a los controladores de dominio internos, desde donde se habían extendido a la mayor cantidad posible de computadoras en una red interna.

Para hacer esto, el equipo de Snatch usó herramientas legítimas de administrador de sistemas y kits de herramientas de prueba de penetración para hacer el trabajo, herramientas como Cobalt Strike, Sophisticated Port Scanner, Procedure Hacker, IObit Uninstaller, PowerTool y PsExec. Como se trata de herramientas comunes, la mayoría de los productos antivirus no pudieron generar ninguna alarma.

Una vez que la pandilla Snatch tiene todo el acceso que necesitan, agregan la clave de registro y el servicio de Home windows que inicia Snatch en modo seguro en todos los hosts infectados, y fuerzan el reinicio de todas las estaciones de trabajo, reinicio que comienza el proceso de cifrado de archivos.

Robar datos del cliente

Además, Sophos dice que, a diferencia de la mayoría de las pandillas de ransomware que se centran principalmente en cifrar archivos y pedir rescates, también encontraron evidencia de que el equipo de Snatch también participó en el robo de datos.

Esto hace que la tripulación de Snatch sea única y altamente peligrosa, ya que las empresas también pueden perder debido a que sus datos se venden o filtran en línea en una fecha posterior, incluso si pagaron la tarifa de rescate y descifraron sus archivos.

Este tipo de comportamiento es muy inusual y es probable que ubique a Snatch en la parte exceptional de muchas listas de las cepas de ransomware más peligrosas de la actualidad.

Pero peinar la pink interna de una empresa para que los archivos roben lleva tiempo, y una razón por la cual Snatch no ha causado la misma cantidad de víctimas que otras cepas / pandillas de «caza mayor». El número de víctimas de Snatch es muy pequeño.

Coverware, una compañía que se especializa en negociaciones de extorsión entre víctimas de ransomware y atacantes, le dijo a Sophos que ha manejado de forma privada los pagos de rescate por infecciones de ransomware Snatch en 12 ocasiones entre julio y octubre de 2019. Los pagos oscilaron entre $ 2,000 y $ 35,000, dijo Coverware.

Hasta hoy, el único caso público conocido de una infección por Snatch ransomware fue SmarterASP.Internet, una empresa de alojamiento website que se jactaba de tener alrededor de 440,000 clientes.

Sophos recomienda que las compañías protejan los puertos y servicios que están expuestos en World wide web con contraseñas seguras o con autenticación de múltiples factores.

Dado que el equipo de Snatch también está interesado en experimentar con inyecciones VNC, TeamViewer o SQL, también es imprescindible asegurar la purple de una empresa para estos puntos de ataque.





Enlace a la noticia authentic