Snatch ransomware reinicia PCs en modo seguro de Windows para eludir las aplicaciones antivirus

A diferencia de la mayoría de las cepas ransomware, el ransomware Snatch también roba archivos de redes infectadas.

Los autores de la Snatch ransomware están utilizando un truco nunca antes visto para eludir el software antivirus y cifrar los archivos de las víctimas sin ser detectado.

El truco se basa en el reinicio de un equipo infectado en modo seguro, y la ejecución del proceso de cifrado de archivos del ransomware desde allí.

La razón de este paso es que la mayoría del software antivirus no se inicia en el modo seguro de Windows, un estado de Windows destinado a depurar y recuperar un sistema operativo corrupto.

Sin embargo, el equipo de Snatch descubrió que podían usar una clave de registro de Windows para programar un servicio de Windows para iniciarse en modo seguro. Este servicio ejecutaría su ransomware en modo seguro sin el riesgo de ser detectado por el software antivirus, y tener su proceso de cifrado detenido.

El truco modo seguro fue descubierto por el equipo de respuesta a incidentes en Sophos Labs, que fueron llamados para investigar una infección ransomware en las últimas semanas. Su equipo de investigación dice que esto es un gran problema, y un truco que podría ser adoptado rápidamente por otros equipos ransomware, así.

“SophosLabs considera que la gravedad del riesgo que representa el ransomware que se ejecuta en modo seguro no puede ser exagerada, y que necesitábamos publicar esta información como una advertencia para el resto de la industria de la seguridad, así como para los usuarios finales,” Andrew Brandt, un investigador de malware y forense de red en Sophos dijo en un informe pubicado hoy.

Snatch, otro cazador de grandes juegos

Los investigadores de Sophos dicen que este es el último truco de la tripulación de Snatch, pero no el primero. Esta particular banda ransomware ha estado operando desde el verano de 2018, pero hasta el día de hoy, muy pocos han oído hablar de esta cepa.

Esto sucedió porque el equipo de Snatch nunca se dirigió a los usuarios domésticos ni utilizó métodos de distribución masiva como campañas de spam de correo electrónico o kits de exploits basados en navegadores, dos canales de distribución que tienden a recibir mucha atención de las empresas de seguridad cibernética.

En su lugar, la tripulación de Snatch fue sólo después de una pequeña lista de objetivos cuidadosamente seleccionados, tales como empresas y organizaciones públicas o gubernamentales.

Este tipo de segmentación y metodología se conoce en el campo de la seguridad cibernética como “caza de caza grande” y es una estrategia que ha sido ampliamente adoptada por múltiples equipos ransomware hoy en día.

La idea detrás de la caza de grandes juegos es que en lugar de ir después de las pequeñas cuotas de rescate autores de malware pueden extraer de los usuarios domésticos, ladrones van tras grandes corporaciones y organizaciones gubernamentales, de donde pueden pedir cuotas de rescate que son cientos de miles de veces más grande.

Ransomware como Ryuk, SamSam, Matrix, BitPaymer, y LockerGoga son sus cazadores de big-game tipoicl.

Equipo Snatch visto reclutar hackers en foros de hacking

Todas las bandas ransomware enumeradas anteriormente tienen su propia metodología para violar las redes de sus respectivos objetivos, y también lo hace Snatch.

Según Sophos, el grupo se sube a la red de una empresa. Los investigadores dicen que rastrearon anuncios que el equipo de Snatch ha publicado en foros de hacking, anuncios destinados a reclutar socios para su esquema.

De acuerdo con una traducción del anuncio, el equipo de Snatch estaba “buscando socios afiliados con acceso a RDP-VNC-TeamViewer-WebShell-SQL inj [inyección SQL] en redes corporativas, tiendas y otras empresas.”

Imagen: Sophos

El equipo de Sophos dice que el equipo de Snatch compraría acceso a una red hackeada, o trabajaría con otro hacker para violar una empresa deseada.

Una vez en, que rara vez se trasladó en la derecha de inmediato para instalar el ransomware y cifrar archivos de inmediato. En su lugar, el equipo de Snatch permaneció dentro de una compañía hackeada durante días, o incluso semanas.

Los piratas informáticos pasarían su tiempo y poco a poco escalan el acceso a los controladores de dominio internos, desde donde se propagarían a tantos equipos en una red interna como sea posible.

Para ello, el equipo de Snatch utilizó herramientas legítimas de sysadmin y kits de herramientas de pruebas de penetración para realizar el trabajo, herramientas como Cobalt Strike, Advanced Port Scanner, Process Hacker, IObit Uninstaller, PowerTool y PsExec. Dado que se trata de herramientas comunes, la mayoría de los productos antivirus no pudieron generar ninguna alarma.

Una vez que la banda Snatch tiene todo el acceso que necesitan, agregan la clave del registro y el servicio de Windows que inicia Snatch en modo seguro en todos los hosts infectados, y fuerzan un reinicio de todas las estaciones de trabajo – reinicio que comienza el proceso de cifrado de archivos.

Robo de datos de clientes

Además, Sophos dice que a diferencia de la mayoría de las bandas ransomware que se centran principalmente en el cifrado de archivos y la compra de rescates, también encontraron evidencia de la tripulación de Snatch también inganged en el robo de datos.

Esto hace que el equipo de Snatch único y altamente peligroso, como las empresas también pueden perder de sus datos que se venden o se filtran en línea en una fecha posterior, incluso si pagaron la cuota de rescate y descifraron sus archivos.

Este tipo de comportamiento es muy inusual y es probable que empujar Snatch en la parte superior de muchas listas de las cepas ransomware más peligrosas de hoy en día.

Pero peinar la red interna de una empresa en busca de archivos para robar lleva tiempo, y una razón por la que Snatch no ha hecho la misma cantidad de víctimas que otras cepas / pandillas de “caza de caza mayor”. El número de víctimas de Snatch es muy pequeño.

Coverware, una empresa que se especializa en negociaciones de extorsión entre víctimas ransomware y atacantes, le dijo a Sophos que han manejado en privado los pagos de rescate para las infecciones de Snatch ransomware en 12 ocasiones entre julio y octubre 2019. Los pagos oscilaban entre $2,000 y $35,000, dijo Coverware.

Hasta hoy, el único caso público conocido de una infección ransomware Snatch era SmarterASP.NET, una empresa de alojamiento web que se jactaba de tener alrededor de 440.000 clientes.

Sophos recomienda que las empresas protejan los puertos y servicios expuestos en Internet con contraseñas seguras o con autenticación multifactor.

Dado que el equipo de Snatch también está interesado en experimentar con inyecciones de VNC, TeamViewer o SQL, asegurar la red de una empresa para estos puntos de ataque también es una necesidad.

ZDNET.COM

A %d blogueros les gusta esto: