Шифровальщик Snatch перезагружает Windows в безопасном режиме

Шифровальщик Snatch перезагружает Windows в безопасном режиме

10.12.19
Эксперты Sophos предупредили, что авторы шифровальщика Snatch перезагружают компьютеры своих жертв в Safe Mode, чтобы обойти защитные механизмы и запустить процесс шифрования файлов. Дело в том, что большинство антивирусных решений не работают в безопасном режиме Windows, то есть ничто не мешает малвари действовать.Исследователи пишут, что вымогатель использует ключ реестра Windows, чтобы запланировать запуск в Safe Mode. Специалисты выражают опасения, что подобный трюк у Snatch вскоре могут перенять и другие хакерские группы, задействовав его для своих вымогателей.

Andrew Brandt@threatresearch

· 22 ч
Ответ пользователю @threatresearch
The Snatch #ransomware attacks orchestrate many of their actions on infected computers - scanning for & exfiltrating sensitive data, profiling users and PCs, & executing the ransomware - using Windows services that invoke batch files
ELXC5ALUEAAkM0j?format=png&name=small.webp

Andrew Brandt@threatresearch


But the most dangerous aspect of the attack is this: Snatch sets itself up as a service that will run even during a Safe Mode reboot, then reboots the box into Safe Mode. This effectively neuters the active protection of many endpoint security tools. Devious! and evil.
ELXDsFhUEAAZXwu?format=png&name=small.webp
<iframe title="vimeo-player" src="https://player.vimeo.com/video/378363798" width="640" height="360" frameborder="0" allowfullscreen></iframe>

Snatch активен как минимум с лета 2018 года, хотя о нем мало кто слышал. Дело в том, что шифровальщик не атакует обычных пользователей, а для его распространения не используются массовые рассылки спама или наборы эскплоитов. Вместо этого операторы Snatch тщательно выбирают цели, которыми чаще всего становятся крупные компании, общественные или правительственные организации.


Таким образом, злоумышленники делают ставку не на множество мелких выкупов от рядовых людей, но сразу требуют от компаний и организаций огромные суммы. По похожей схеме работают и другие вымогатели, такие как Ryuk, SamSam, Matrix, BitPaymer и LockerGoga. Единственный публично известный случай атаки Snatch на сегодня, это заражение провайдера ASP.NET, компании SmarterASP.NET, обслуживающей более 440 000 клиентов.

По данным экспертов, операторы Snatch зачастую покупают доступ к корпоративным сетям у других преступников. Так, ранее исследователи обнаруживали рекламу, которую злоумышленники размещали на хакерских форумах. В этих объявлениях авторы вымогателя искали партнеров, которые могли обеспечить доступ к корпоративным сетям, магазинам и так далее посредством RDP, VNC, TeamViewer, WebShell, SQL-инъекций.

snatch-forum-ad.webp

Проникнув в чужую сеть, операторы Snatch не атакуют сразу. Сначала несколько дней или недель злоумышленники наблюдают, изучают цель, получают доступ к контроллеру домена, откуда малварь можно распространить на максимально возможное количество компьютеров. Для этого используются такие известные пентестерские инструменты, как Cobalt Strike, Advanced Port Scanner, Process Hacker, IObit Uninstaller, PowerTool и PsExec. Подозрения у защитных механизмов и антивирусов эти легитимные решения, как правило, не вызывают.

Также, по информации Sophos, операторы Snatch занимаются не только шифрованием данных, но и похищают у своих жертв различную информацию. То есть компании рискуют потерять свои данные даже в том случае, если они заплатили выкуп.

 
Последнее редактирование:
Назад
Сверху Снизу