Snatch, el Ransomware que reinicia Windows en modo seguro para evadir antivirus
Investigadores de ciberseguridad han descubierto una nueva variante del ransomware Snatch
Este primero reinicia las computadoras Windows infectadas en modo seguro y luego cifra los archivos de las víctimas para evitar la detección de antivirus.
A diferencia del malware tradicional, el nuevo ransomware Snatch elige ejecutarse en modo seguro.
Esto es porque en el modo seguro el sistema operativo Windows comienza con un conjunto mínimo de controladores y servicios.
Este modo no carga la mayoría de los programas de inicio de terceros, incluido el software antivirus.
Snatch ha estado activo desde al menos el verano de 2018.
Los investigadores de SophosLabs detectaron la mejora del Modo seguro para esta cepa de ransomware en los recientes ataques cibernéticos contra diversas entidades.
“Los investigadores de SophosLabs han estado investigando una serie continua de ataques de ransomware.
Este ejecutable del ransomware obliga a la máquina de Windows a reiniciarse en modo seguro antes de comenzar el proceso de cifrado”, afirman los investigadores.
“El ransomware, que se llama a sí mismo Snatch, se configura como un servicio [llamado SuperBackupMan con la ayuda del registro de Windows] que se ejecutará durante un arranque en modo seguro”.
“Cuando la computadora vuelve a funcionar después del reinicio, esta vez en modo seguro, el malware usa el componente net.exe de Windows para detener el servicio SuperBackupMan.
Posteriormente luego usa el componente vssadmin.exe de Windows para eliminar todas las instantáneas de volumen en el sistema.
La acción anterior impide la recuperación forense de los archivos cifrados por el ransomware “.
Lo que hace que Snatch sea diferente y peligroso de los demás es que, además del ransomware, también roba datos.
Snatch incluye un sofisticado módulo de robo de datos, que permite a los atacantes robar grandes cantidades de información de las organizaciones objetivo.
Video – Snatch ransomware:
Este contenido se encuentra parcialmente protegido
Disponible solo para Windows
Aunque Snatch está escrito en Go, un lenguaje de programación conocido para el desarrollo de aplicaciones multiplataforma.
Los autores han diseñado este ransomware para ejecutarse solo en la plataforma Windows.
“Snatch puede ejecutarse en las versiones más comunes de Windows, de 7 a 10, en versiones de 32 y 64 bits.
Las muestras que hemos visto también están empaquetadas con el paquete de código abierto UPX para ofuscar sus contenidos”, dicen los investigadores.
Además de esto, los atacantes detrás del ransomware Snatch también ofrecen oportunidades de asociación a otros ciberdelincuentes.
Buscan ciberdelincuentes que posean credenciales y puertas traseras en grandes organizaciones y puedan explotarlos para implementar el ransomware.
Como se muestra en la captura de pantalla tomada de un foro de la dark web, uno de los miembros del grupo publicó una oferta “buscando socios afiliados con acceso a inyecciones RDP\VNC\TeamViewer\WebShell\SQL en redes corporativas, tiendas y otras compañías”.
Modo de ataque
Utilizando credenciales forzadas o robadas, los atacantes primero obtienen acceso a la red interna de la compañía.
Luego ejecutan varios administradores legítimos del sistema y herramientas de prueba de penetración para comprometer los dispositivos dentro de la misma red sin levantar ninguna alerta roja.
“También encontramos una gama de herramientas legítimas que han sido adoptadas por delincuentes instalados en máquinas dentro de la red del objetivo.
Estas herramientas incluyen Process Hacker, IObit Uninstaller, PowerTool y PsExec.
Los atacantes generalmente las usan para tratar de desactivar los productos antivirus”. Según dicen los.
Coveware, una compañía que se especializa en negociaciones de extorsión entre atacantes y víctimas de ransomware, le dijo a Sophos que negociaron con los delincuentes de Snatch “en 12 ocasiones.
Las negociaciones se dieron entre julio y octubre de 2019 en nombre de sus clientes”, con pagos de rescate que oscilaron entre $2,000 y $35,000 en bitcoins .
Para evitar ataques de ransomware, le recomendamos a las organizaciones que no expongan sus servicios críticos y puertos seguros al Internet público.
En caso de ser necesario, protégelos usando una contraseña segura con autenticación de múltiples factores.
