Ransomware „Snatch” potrafi wyłączyć ochronę na komputerze i skutecznie zaszyfrować pliki

Specjaliści cyberbezpieczeństwa z firmy SophosLabs wykryli oraz opisali nowy wariant znanego już ransomware o nazwie Snatch. Nowa technika polega na wymuszeniu ponownego uruchomienia zainfekowanego komputera z systemem Windows w trybie awaryjnym (Safe Mode), i dopiero wtedy zaszyfrowanie plików ofiary.
Taki zabieg pozwala na uniknięcie wykrycia przez większość tradycyjnego oprogramowania antywirusowego, ponieważ w trybie awaryjnym system operacyjny uruchamia się z minimalnym zestawem sterowników i programów firm trzecich. Istnieje więc duża szansa, że w Safe Mode procesy odpowiedzialne za ochronę systemu pod kątem malware nie wystartują.
Ransomware Snatch infekuje systemy co najmniej od lipca 2018 roku, ale sprytna metoda restartu systemu i uruchamiania go w trybie awaryjnym widoczna jest od niedawna, w kilku ostatnich atakach.

Snatch rejestruje się w systemie jako usługa o nazwie SuperBackupMan, która w rejestrze posiada zapamiętaną opcje uruchamiania podczas rozruchu systemu w trybie awaryjnym. Gdy komputer wraca do pracy po ponownym uruchomieniu, złośliwe oprogramowanie używa komponentu vssadmin.exe do usunięcia wszystkich kopii woluminów wykonywanych w tle (Volume Shadow Copies), w celu uniknięcia możliwości odzyskiwania zaszyfrowanych plików i analizy sądowej po udanym ataku.
Ransomware napisany jest w mało popularnym języku Go i zaprojektowany do działania na wszystkich wersjach systemu Windows od 7, zarówno 32 jak i 64 bitowych.

Z danych firmy Coveware, specjalizującej się w negocjacjach dotyczących wymuszeń płatności za odszyfrowanie danych wiemy, że udanych ataków Snatch w okresie od lipca do października tego roku było przynajmniej 12, a okup wahał się między 2000, a 35 000 dolarów.

Zaplanowane kampanie z wykorzystaniem ransomware Snatch wykorzystują wiele popularnych narzędzi penetracyjnych, takich jak PsExec, Advanced Port Scanner, Process Hacker, PowerTool czy IObit, głównie w celu rozprzestrzenienia się w sieci organizacji oraz kompromitacji nowych maszyn. Malware ten nie działa w pełni automatycznie i zawsze kontrolowany jest zdalnie przez atakującego.

Popularne

Czym są non-human identities (NHI)? Jak możemy je chronić i jakie zagrożenia stwarzają dla organizacji?

W dzisiejszym artykule opisujemy pewien problem istniejący w firmach i organizacjach, związany z tożsamościami nieludzkimi (non-human identities), czyli inaczej – tożsamościami niezwiązanymi z pracow...

10 min czytania 16 wrz 2024 07:54

Nowe podatności w architekturze sieci 5G

Nowe badania nad architekturą 5G ujawniły lukę w zabezpieczeniach modelu dzielenia sieci oraz zwirtualizowanych funkcjach sieciowych, które można wykorzystać do nieautoryzowanego dostępu do danych, a tak...

5 min czytania 31 mar 2021 08:00

Filtrowanie URL i DNS, dlaczego to takie ważne?

Filtrowanie adresów URL ogranicza zawartość stron internetowych, do których użytkownicy mają dostęp. Odbywa się to poprzez blokowanie określonych adresów URL przed załadowaniem. Firmy wdrażają filtrowanie...

6 min czytania 14 cze 2022 09:20

Hakerzy z Dragon Breath z nową techniką ataku

Specjaliści z Sophos wykryli niedawno złośliwą aktywność polegającą na klasycznym DLL side-loadingu, ale ze zwiększoną złożonością i dodatkową warstwą wykonania. Co więcej, dochodzenie wskazuje, że oso...

3 min czytania 9 maj 2023 09:44

Alarmująca luka w Veeam Backup & Replication: krytyczne RCE grozi przejęciem serwerów kopii zapasowych

Veeam, czyli jeden z najpowszechniejszych produktów do tworzenia i odtwarzania kopii zapasowych w środowiskach korporacyjnych, załatał pilnie kilka poważnych luk bezpieczeństwa w swoim oprogramowaniu Backu...

4 min czytania 8 sty 2026 09:07