Τρίτη, 27 Οκτωβρίου, 13:46
Αρχική security Snatch ransomware: Επανεκκίνηση των PCs σε Windows Safe Mode για παράκαμψη των...

Snatch ransomware: Επανεκκίνηση των PCs σε Windows Safe Mode για παράκαμψη των antivirus

Snatch ransomwareΣύμφωνα με μια νέα ανακάλυψη, οι δημιουργοί του Snatch ransomware χρησιμοποιούν ένα ολοκαίνουριο τέχνασμα για να παρακάμψουν τα λογισμικά προστασίας από ιούς και να βλάψουν τα αρχεία των θυμάτων. Με αυτό το τέχνασμα αποφεύγουν τον εντοπισμό.

Πώς το πετυχαίνουν αυτό οι hackers; Κάνουν επανεκκίνηση του μολυσμένου υπολογιστή σε Safe Mode και ξεκινούν από εκεί τη διαδικασία κρυπτογράφησης των αρχείων.

Η επανεκκίνηση σε Safe Mode είναι σημαντική για τους hackers, γιατί τα περισσότερα antivirus λογισμικά δεν τρέχουν σε αυτή τη λειτουργία των Windows.

Οι hackers πίσω από το Snatch κατάφεραν να τρέξουν το ransomware τους σε Safe Mode και να αποφύγουν την ανίχνευση.

Το κόλπο των hackers ανακαλύφθηκε από τους ερευνητές της Sophos Labs. Η ερευνητική ομάδα είπε ότι πρόκειται για ένα έξυπνο τέχνασμα, που μπορεί να γίνει πολύ επικίνδυνο, καθώς μπορεί να υιοθετηθεί και από άλλες ransomware συμμορίες. Γι’ αυτό το λόγο, η Sophos Labs αποφάσισε να δημοσιοποιήσει την ανακάλυψή της για να επιστήσει την προσοχή όλων των ειδικών ασφαλείας.

Snatch ransomware

Οι hackers πίσω από το Snatch ξεκίνησαν τις δραστηριότητές τους το καλοκαίρι του 2018. Αν και έχουν πραγματοποιήσει κάποιες επιθέσεις, χρησιμοποιώντας διάφορα άλλα τεχνάσματα, δεν υπάρχουν πολλές πληροφορίες για το ransomware τους.

Αυτή η έλλειψη πληροφοριών οφείλεται στο ότι το Snatch δεν στοχεύει οικιακούς χρήστες ούτε χρησιμοποιεί μεθόδους μαζικής διανομής (π.χ. spam emails ή exploit kits), οι οποίες συνήθως τραβούν την προσοχή των εταιρειών ασφαλείας.

Στόχοι του Snatch ransomware είναι, συνήθως, προσεκτικά επιλεγμένοι στόχοι, όπως εταιρείες και δημόσιοι ή κυβερνητικοί οργανισμοί.

Αυτός ο τύπος στόχευσης και μεθοδολογίας είναι γνωστός ως “κυνήγι μεγάλων θηραμάτων” και χρησιμοποιείται από αρκετές συμμορίες ransomware.

Η ιδέα πίσω από αυτό, είναι η στόχευση μεγάλων εταιρειών και οργανισμών, απ’ όπου οι hackers μπορούν να εξασφαλίσουν λύτρα εκατοντάδων χιλιάδων δολαρίων με μια μόνο επίθεση.

Τα πιο γνωστά ransomware, που κινούνται με αυτόν τον τρόπο είναι τα Ryuk, SamSam, Matrix, BitPaymer και LockerGoga.

Οι «Snatch hackers» στρατολογούν hackers μέσω hacking forums

Οι ερευνητές της Sophos ανακάλυψαν ότι η hacking ομάδα βάζει διαφημίσεις σε hacking forums και ζητά συνεργάτες για τις δραστηριότητές της.

Σύμφωνα με τη διαφήμιση, η ομάδα «έψαχνε για συνεργάτες με πρόσβαση σε RDP \ VNC \ TeamViewer \ WebShell \ SQL inj [SQL injection] σε εταιρικά δίκτυα, καταστήματα και άλλες εταιρείες».

Η ομάδα Snatch «αγοράζει» την πρόσβασή της σε ένα παραβιασμένο δίκτυο, ή συνεργάζεται με άλλους hackers για να παραβιάσει μια εταιρεία.

Από τη στιγμή που αποκτούν πρόσβαση στο δίκτυο μιας εταιρείας, οι hackers δεν βιάζονται να κρυπτογραφήσουν τα αρχεία. Μπορεί να μείνουν μέσα στο δίκτυο για μέρες ή και εβδομάδες.

Σιγά σιγά κλιμακώνουν την πρόσβαση στους εσωτερικούς ελεγκτές domain και εξαπλώνονται σε όσο το δυνατόν περισσότερους υπολογιστές σε ένα εσωτερικό δίκτυο.

Για να το καταφέρουν αυτό, οι hackers χρησιμοποιούν νόμιμα εργαλεία και penetration testing toolkits, όπως τα Cobalt Strike, Advanced Scanner Port, Process Hacker, IObit Uninstaller, PowerTool και PsExec. Πρόκειται για κοινά εργαλεία. Επομένως, τα περισσότερα προϊόντα προστασίας από ιούς δεν ενεργοποιούνται από αυτά.

Στη συνέχεια, επανεκκινούν τους επηρεαζόμενους υπολογιστές σε Safe Mode και ξεκινούν τη διαδικασία κρυπτογράφησης των αρχείων.

Κλοπή δεδομένων

Η Sophos ανακάλυψε ότι οι hackers πίσω από το Snatch δεν κρυπτογραφούν απλά τα αρχεία, όπως κάνουν όλα τα ransomware. Η hacking ομάδα συχνά κλέβει τα δεδομένα.

Αυτό καθιστά την ομάδα εξαιρετικά επικίνδυνη, γιατί τα θύματα μπορεί να δώσουν τα λύτρα, ωστόσο τα δεδομένα βρίσκονται ακόμα στα χέρια των επιτιθέμενων και μπορούν να διαρρεύσουν στο διαδίκτυο ή να πουληθούν.

Αυτός ο τύπος συμπεριφοράς είναι πολύ ασυνήθιστος και μπορεί να κάνει το Snatch ένα από τα πιο επικίνδυνα ransomware.

Ωστόσο, αυτός ο τύπος επίθεσης απαιτεί πολύ χρόνο και γι’ αυτό ο αριθμός των θυμάτων του Snatch είναι πολύ μικρός (μέχρι τώρα).

Η Coverware, μια εταιρεία που ειδικεύεται σε διαπραγματεύσεις μεταξύ θυμάτων ransomware και επιτιθέμενων, δήλωσε ότι έχει αναλάβει 12 περιπτώσεις μεταξύ Ιουλίου και Οκτωβρίου 2019, που σχετίζονται με το Snatch ransomware. Οι πληρωμές κυμαίνονταν από $ 2.000 έως $ 35.000.

Η Sophos συνιστά στις εταιρείες να ασφαλίζουν τις θύρες και τις υπηρεσίες που εκτίθενται στο διαδίκτυο για να παραμείνουν ασφαλείς.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Παραβίαση σε κλινική ψυχοθεραπείας οδήγησε σε εκβιασμούς ασθενών

Πριν δύο χρόνια, έλαβε χώρα μια κυβερνοεπίθεση σε μια φινλανδική κλινική ψυχοθεραπείας, η οποία κατέληξε σε κλοπή δεδομένων και απαίτηση λύτρων. Τώρα,...

Αυστραλία: Ενισχύει την κυβερνοασφάλεια και την προστασία απορρήτου!

Η κυβέρνηση της Νέας Νότιας Ουαλίας στην Αυστραλία έχει δημιουργήσει μια ειδική ομάδα, με στόχο να ενισχύσει την κυβερνοασφάλεια και την προστασία...

Πάνω από 100 συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο

Πάνω από 100 έξυπνα συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο χωρίς κωδικό πρόσβασης τον περασμένο μήνα, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση...

Παραβίαση στη Nitro Software επηρεάζει πιθανότατα Google, Apple, Microsoft

Η υπηρεσία Nitro PDF (της Nitro Software) υπέστη μια παραβίαση δεδομένων, η οποία λέγεται ότι επηρεάζει πολλές γνωστές εταιρείες, όπως η Google,...

Χάκερ κλέβει 24 εκατ. $ από την υπηρεσία cryptocurrency Harvest Finance

Ένας χάκερ έχει κλέψει «cryptocurrency assets» αξίας περίπου 24 εκατομμυρίων δολαρίων από την υπηρεσία αποκεντρωμένης χρηματοδότησης (DeFi) Harvest Finance, μια διαδικτυακή πύλη...

Ransomware επίθεση “χτύπησε” εκλογικό database στη Τζόρτζια των ΗΠΑ!

Μια ransomware επίθεση έπληξε κομητεία της Τζόρτζια των ΗΠΑ στις αρχές του μήνα, επηρεάζοντας ένα database που χρησιμοποιείται για την επαλήθευση των...

Παραβίαση δεδομένων στο γραφείο του Σερίφη στην Hennepin

Παραβίαση δεδομένων υπέστη το Γραφείο του Σερίφη στην κομητεία του Hennepin, η οποία είχε σαν αποτέλεσμα την διαρροή πληροφοριών περίπου 1400 ατόμων.

Play Store: Βρέθηκαν 21 Android εφαρμογές με adware

Η Google αφαίρεσε 15 Android εφαρμογές από το Play Store, κατά τη διάρκεια του Σαββατοκύριακου, καθώς σύμφωνα με μια αναφορά από την...

Το νέο botnet KashmirBlack έχει μολύνει εκατοντάδες χιλιάδες websites

Το νέο botnet KashmirBlack πιστεύεται ότι έχει μολύνει εκατοντάδες χιλιάδες ιστότοπους από το Νοέμβριο του 2019.

FBI: Στηρίζει το Cyber Camp των ΗΠΑ για την εκπαίδευση νέων στο IT και την κυβερνοασφάλεια

Το αμερικανικό διαστημικό και πυραυλικό κέντρο (USSRC) και το FBI συνεργάζονται έχοντας ως στόχο την υποστήριξη του Cyber Camp των ΗΠΑ. Αυτό...