Pesquisadores de segurança cibernética descobriram uma nova variante do ransomware Snatch que primeiro reinicia os computadores Windows infectados no Modo de Segurança e somente depois criptografa os arquivos das vítimas para evitar a detecção de antivírus.
Diferentemente do malware tradicional, o novo Snatch ransomware opta por executar no Modo de Segurança, porque no modo de diagnóstico o sistema operacional Windows inicia com um conjunto mínimo de drivers e serviços sem carregar a maioria dos programas de inicialização de terceiros, incluindo software antivírus.
O Snatch está ativo desde pelo menos o verão de 2018, mas os pesquisadores do SophosLabs detectaram o aprimoramento do Modo de Segurança para esta variedade de ransomware apenas em ataques cibernéticos recentes contra várias entidades que eles investigaram.
“Os pesquisadores do SophosLabs estão investigando uma série contínua de ataques de ransomware nos quais o executável do ransomware força a máquina Windows a reiniciar no Modo de Segurança antes de iniciar o processo de criptografia”, afirmam os pesquisadores.
“O ransomware, que se autodenomina Snatch, se configura como um serviço [chamado SuperBackupMan com a ajuda do registro do Windows] que será executado durante a inicialização do Modo de Segurança”.
“Quando o computador é reiniciado após a reinicialização, desta vez no Modo de Segurança, o malware usa o componente do Windows net.exe para interromper o serviço SuperBackupMan e, em seguida, usa o componente do Windows vssadmin.exe para excluir todas as Cópias de Sombra de Volume no sistema, que impede a recuperação forense dos arquivos criptografados pelo ransomware. “
O que torna o Snatch diferente e perigoso dos outros é que, além do ransomware, ele também é um ladrão de dados. O Snatch inclui um módulo sofisticado de roubo de dados, permitindo que os invasores roubem grandes quantidades de informações das organizações-alvo.
Embora o Snatch seja escrito em Go, uma linguagem de programação conhecida pelo desenvolvimento de aplicativos em várias plataformas, os autores projetaram esse ransomware para rodar apenas na plataforma Windows.
“O Snatch pode ser executado nas versões mais comuns do Windows, de 7 a 10, nas versões de 32 e 64 bits. As amostras que vimos também são fornecidas com o empacotador de código aberto UPX para ofuscar seu conteúdo”, afirmam os pesquisadores.
Além disso, os atacantes por trás do Snatch ransomware também oferecem oportunidades de parceria para outros cibercriminosos e funcionários desonestos que possuem credenciais e backdoors em grandes organizações e podem explorá-lo para implantar o ransomware.
Usando credenciais forçadas ou roubadas, os atacantes primeiro obtêm acesso à rede interna da empresa e, em seguida, executam vários administradores de sistema legítimos e ferramentas de teste de penetração para comprometer dispositivos dentro da mesma rede sem levantar sinal vermelho.
“Também descobrimos uma variedade de ferramentas legítimas adotadas por criminosos instalados em máquinas na rede do alvo, incluindo o Hacker de processo, o Desinstalador do IObit, o PowerTool e o PsExec. Os atacantes geralmente as usam para tentar desativar os produtos AV”, dizem os pesquisadores.
A Coveware, uma empresa especializada em negociações de extorsão entre atacantes e vítimas de ransomware, disse à Sophos que negociou com os criminosos do Snatch “em 12 ocasiões entre julho e outubro de 2019 em nome de seus clientes” com pagamentos de resgate que variam de US$ 2.000 a US$ 35.000 em bitcoins .
Para evitar ataques de ransomware, recomenda-se que as organizações não exponham seus serviços críticos e portas seguras à Internet pública e, se necessário, proteja-as usando uma senha forte com autenticação multifator.
Este artigo é uma tradução de: https://thehackernews.com/2019/12/snatch-ransomware-safe-mode.html
