Prodotti e Servizi PRODOTTI & SERVIZI

Il ransomware Snatch riavvia i PC in Safe Mode per bypassare la protezione

Un report analizza in dettaglio le tattiche, le tecniche e le procedure usate da Snatch, che comprendono il riavvio dei PC in Safe Mode

Sophos ha pubblicato un report investigativo dal titolo “Snatch Ransomware Reboots PCs into Safe Mode to Bypass Protection” realizzato dai SophosLabs e Sophos Managed Threat Response.

Il report illustra nel dettaglio i metodi di attacco in continua evoluzione adottati dal ransomware Snatch, rilevato per la prima volta nel dicembre 2018, tra i quali vi è il riavvio dei PC in Safe Mode per aggirare le protezioni basate sull’analisi comportamentale che intercettano le attività tipiche dei ransomware. Sophos ritiene che questa sia una nuova tecnica di attacco adottata dai cybercriminali per evadere le difese.

Proseguendo lungo una tendenza evidenziata nel 2020 Threat Report di SophosLabs, i cybercriminali che usano Snatch esfiltrano dati prima che il ransomware inizi il suo attacco. Questa particolarità è comune ad altri gruppi di ransomware come Bitpaymer.

Sophos prevede che questa tendenza del ransomware di sottrarre dati prima di avviare la cifratura crittografica sia destinata ad affermarsi sempre più. Qualora venissero colpite da Snatch, dunque, le aziende tenute a rispettare il GDPR, il California Consumer Privacy Act e altre normative simili potrebbero essere obbligate a notificare la violazione alle autorità preposte.

Snatch costituisce un esempio di attacco attivo automatico, una categoria di malware descritta nel 2020 Threat Report di SophosLabs. Una volta entrati nel sistema abusando dei servizi di accesso remoto, gli autori dell’attacco agiscono manualmente al fine di muoversi lateralmente e provocare danni. Come spiegato nel report dedicato a Snatch, i cybercriminali entrano attraverso servizi di accesso remoto IT non protetti come (ma non solo) Remote Desktop Protocol (RDP). Il report porta degli esempi di come chi attacca utilizzando Snatch ricerchi nei forum del Dark Web potenziali collaboratori abili nel compromettere i servizi di accesso remoto.

Quella che segue è la schermata di una conversazione in lingua russa avvenuta in uno di questi forum, che recita: “Cercansi partner affiliati con accesso RDP\VNC\TeamViewer\WebShell\SQLinj a reti aziendali, negozi e altre aziende”.

Come difendersi:

  • Essere proattivi andando a caccia delle minacce: avvalersi di un team interno o esterno di esperti specializzati nella sicurezza per tenere costantemente sotto controllo le minacce
  • Implementare tecniche di machine learning/deep learning, mitigazione attiva e rilevamento comportamentale nella sicurezza degli endpoint
  • Dove possibile, identificare e chiudere i servizi di accesso remoto aperti alla rete Internet pubblica
  • Qualora l’accesso remoto fosse necessario, utilizzare una VPN con autenticazione multi-fattore, auditing delle password e controllo preciso sugli accessi oltre al monitoraggio attivo dell’accesso remoto
  • Qualsiasi server con accesso remoto aperto sulla rete Internet pubblica deve essere aggiornato con le patch più recenti e protetto da controlli preventivi (come software per la protezione degli endpoint), ed essere attivamente monitorato alla ricerca di login anomali e altri comportamenti non normali
  • Gli utenti collegati ai servizi di accesso remoto dovrebbero avere privilegi limitati per il resto della rete corporate
  • Gli amministratori dovrebbero adottare tecniche di autenticazione multi-fattore e utilizzare un account amministrativo diverso dal loro normale account utente
  • Monitorare attivamente le porte RDP aperte nello spazio IP pubblico

Per ulteriori informazioni e per dettagli tecnici approfonditi sul ransomware Snatch è possibile consultare SophosLabs Uncut.