Site icon Sophos News

Il ransomware Snatch riavvia i PC in Safe Mode per bypassare la protezione

Sophos ha pubblicato un report investigativo dal titolo “Snatch Ransomware Reboots PCs into Safe Mode to Bypass Protection” realizzato dai SophosLabs e Sophos Managed Threat Response.

Il report illustra nel dettaglio i metodi di attacco in continua evoluzione adottati dal ransomware Snatch, rilevato per la prima volta nel dicembre 2018, tra i quali vi è il riavvio dei PC in Safe Mode per aggirare le protezioni basate sull’analisi comportamentale che intercettano le attività tipiche dei ransomware. Sophos ritiene che questa sia una nuova tecnica di attacco adottata dai cybercriminali per evadere le difese.

Proseguendo lungo una tendenza evidenziata nel 2020 Threat Report di SophosLabs, i cybercriminali che usano Snatch esfiltrano dati prima che il ransomware inizi il suo attacco. Questa particolarità è comune ad altri gruppi di ransomware come Bitpaymer.

Sophos prevede che questa tendenza del ransomware di sottrarre dati prima di avviare la cifratura crittografica sia destinata ad affermarsi sempre più. Qualora venissero colpite da Snatch, dunque, le aziende tenute a rispettare il GDPR, il California Consumer Privacy Act e altre normative simili potrebbero essere obbligate a notificare la violazione alle autorità preposte.

Snatch costituisce un esempio di attacco attivo automatico, una categoria di malware descritta nel 2020 Threat Report di SophosLabs. Una volta entrati nel sistema abusando dei servizi di accesso remoto, gli autori dell’attacco agiscono manualmente al fine di muoversi lateralmente e provocare danni. Come spiegato nel report dedicato a Snatch, i cybercriminali entrano attraverso servizi di accesso remoto IT non protetti come (ma non solo) Remote Desktop Protocol (RDP). Il report porta degli esempi di come chi attacca utilizzando Snatch ricerchi nei forum del Dark Web potenziali collaboratori abili nel compromettere i servizi di accesso remoto.

Quella che segue è la schermata di una conversazione in lingua russa avvenuta in uno di questi forum, che recita: “Cercansi partner affiliati con accesso RDP\VNC\TeamViewer\WebShell\SQLinj a reti aziendali, negozi e altre aziende”.

Come difendersi:

Per ulteriori informazioni e per dettagli tecnici approfonditi sul ransomware Snatch è possibile consultare SophosLabs Uncut.

Exit mobile version