Ransomware „Snatch” potrafi wyłączyć ochronę na komputerze i skutecznie zaszyfrować pliki

Specjaliści cyberbezpieczeństwa z firmy SophosLabs wykryli oraz opisali nowy wariant znanego już ransomware o nazwie Snatch. Nowa technika polega na wymuszeniu ponownego uruchomienia zainfekowanego komputera z systemem Windows w trybie awaryjnym (Safe Mode), i dopiero wtedy zaszyfrowanie plików ofiary.
Taki zabieg pozwala na uniknięcie wykrycia przez większość tradycyjnego oprogramowania antywirusowego, ponieważ w trybie awaryjnym system operacyjny uruchamia się z minimalnym zestawem sterowników i programów firm trzecich. Istnieje więc duża szansa, że w Safe Mode procesy odpowiedzialne za ochronę systemu pod kątem malware nie wystartują.
Ransomware Snatch infekuje systemy co najmniej od lipca 2018 roku, ale sprytna metoda restartu systemu i uruchamiania go w trybie awaryjnym widoczna jest od niedawna, w kilku ostatnich atakach.

Snatch rejestruje się w systemie jako usługa o nazwie SuperBackupMan, która w rejestrze posiada zapamiętaną opcje uruchamiania podczas rozruchu systemu w trybie awaryjnym. Gdy komputer wraca do pracy po ponownym uruchomieniu, złośliwe oprogramowanie używa komponentu vssadmin.exe do usunięcia wszystkich kopii woluminów wykonywanych w tle (Volume Shadow Copies), w celu uniknięcia możliwości odzyskiwania zaszyfrowanych plików i analizy sądowej po udanym ataku.
Ransomware napisany jest w mało popularnym języku Go i zaprojektowany do działania na wszystkich wersjach systemu Windows od 7, zarówno 32 jak i 64 bitowych.

Z danych firmy Coveware, specjalizującej się w negocjacjach dotyczących wymuszeń płatności za odszyfrowanie danych wiemy, że udanych ataków Snatch w okresie od lipca do października tego roku było przynajmniej 12, a okup wahał się między 2000, a 35 000 dolarów.

Zaplanowane kampanie z wykorzystaniem ransomware Snatch wykorzystują wiele popularnych narzędzi penetracyjnych, takich jak PsExec, Advanced Port Scanner, Process Hacker, PowerTool czy IObit, głównie w celu rozprzestrzenienia się w sieci organizacji oraz kompromitacji nowych maszyn. Malware ten nie działa w pełni automatycznie i zawsze kontrolowany jest zdalnie przez atakującego.

Popularne

Korporacyjny Gmail z funkcją szyfrowania end-to-end

O Google pisaliśmy w tym roku już kilka razy. A to o podatności w Google Cloud Run, a to o mało ciekawych praktykach związanych z gromadzeniem danych. Dzisiaj, dla odmiany, pochwalimy! We wtorek 1 kw...

3 min czytania 7 kwi 2025 08:00

Złośliwa kampania EtherHiding wykorzystuje infrastrukturę Binance

Niedawno zaobserwowano, że ugrupowania cyberprzestępcze udostępniają złośliwy kod, wykorzystując kontrakty Binance Smart Chain (BSC) w ramach czegoś, co zostało opisane jako „kolejny poziom kuloodporn...

4 min czytania 17 paź 2023 07:50

Driftowa pułapka – kiedy tokeny OAuth z Salesloft Drift otwierają drzwi do firmowej skrzynki (i nie tylko)

W sierpniu 2025 roku światem cyberbezpieczeństwa wstrząsnęły jednocześnie dwa powiązane ze sobą incydenty, które unaoczniły, jak poważnym zagrożeniem mogą być integracje OAuth z aplikacjami trzecimi. Naj...

5 min czytania 10 wrz 2025 08:00

Sztuczna inteligencja wykorzystywana w phishingu

Każdy, kto spędza w 2023 roku trochę czasu na przeglądaniu Internetu, prawdopodobnie słyszał o ChatGPT i Google Bard, dwóch najpopularniejszych platformach, które wykorzystują generatywną sztuczną inteligenc...

8 min czytania 23 cze 2023 10:03

Nowy atak na zabezpieczenia sieci Wi-Fi – SSID Confusion

Specjaliści od wykrywania podatności odkryli ostatnio nową lukę w zabezpieczeniach, wynikającą z wady konstrukcyjnej standardu Wi-Fi IEEE 802.11. Podatność polega na możliwości przekonania ofiary do połącz...

5 min czytania 21 maj 2024 07:08