Σύμφωνα με μια νέα ανακάλυψη, οι δημιουργοί του Snatch ransomware χρησιμοποιούν ένα ολοκαίνουριο τέχνασμα για να παρακάμψουν τα λογισμικά προστασίας από ιούς και να βλάψουν τα αρχεία των θυμάτων. Με αυτό το τέχνασμα αποφεύγουν τον εντοπισμό.
Πώς το πετυχαίνουν αυτό οι hackers; Κάνουν επανεκκίνηση του μολυσμένου υπολογιστή σε Safe Mode και ξεκινούν από εκεί τη διαδικασία κρυπτογράφησης των αρχείων.
Η επανεκκίνηση σε Safe Mode είναι σημαντική για τους hackers, γιατί τα περισσότερα antivirus λογισμικά δεν τρέχουν σε αυτή τη λειτουργία των Windows.
Οι hackers πίσω από το Snatch κατάφεραν να τρέξουν το ransomware τους σε Safe Mode και να αποφύγουν την ανίχνευση.
Το κόλπο των hackers ανακαλύφθηκε από τους ερευνητές της Sophos Labs. Η ερευνητική ομάδα είπε ότι πρόκειται για ένα έξυπνο τέχνασμα, που μπορεί να γίνει πολύ επικίνδυνο, καθώς μπορεί να υιοθετηθεί και από άλλες ransomware συμμορίες. Γι’ αυτό το λόγο, η Sophos Labs αποφάσισε να δημοσιοποιήσει την ανακάλυψή της για να επιστήσει την προσοχή όλων των ειδικών ασφαλείας.
Snatch ransomware
Οι hackers πίσω από το Snatch ξεκίνησαν τις δραστηριότητές τους το καλοκαίρι του 2018. Αν και έχουν πραγματοποιήσει κάποιες επιθέσεις, χρησιμοποιώντας διάφορα άλλα τεχνάσματα, δεν υπάρχουν πολλές πληροφορίες για το ransomware τους.
Αυτή η έλλειψη πληροφοριών οφείλεται στο ότι το Snatch δεν στοχεύει οικιακούς χρήστες ούτε χρησιμοποιεί μεθόδους μαζικής διανομής (π.χ. spam emails ή exploit kits), οι οποίες συνήθως τραβούν την προσοχή των εταιρειών ασφαλείας.
Στόχοι του Snatch ransomware είναι, συνήθως, προσεκτικά επιλεγμένοι στόχοι, όπως εταιρείες και δημόσιοι ή κυβερνητικοί οργανισμοί.
Αυτός ο τύπος στόχευσης και μεθοδολογίας είναι γνωστός ως “κυνήγι μεγάλων θηραμάτων” και χρησιμοποιείται από αρκετές συμμορίες ransomware.
Η ιδέα πίσω από αυτό, είναι η στόχευση μεγάλων εταιρειών και οργανισμών, απ’ όπου οι hackers μπορούν να εξασφαλίσουν λύτρα εκατοντάδων χιλιάδων δολαρίων με μια μόνο επίθεση.
Τα πιο γνωστά ransomware, που κινούνται με αυτόν τον τρόπο είναι τα Ryuk, SamSam, Matrix, BitPaymer και LockerGoga.
Οι «Snatch hackers» στρατολογούν hackers μέσω hacking forums
Οι ερευνητές της Sophos ανακάλυψαν ότι η hacking ομάδα βάζει διαφημίσεις σε hacking forums και ζητά συνεργάτες για τις δραστηριότητές της.
Σύμφωνα με τη διαφήμιση, η ομάδα «έψαχνε για συνεργάτες με πρόσβαση σε RDP \ VNC \ TeamViewer \ WebShell \ SQL inj [SQL injection] σε εταιρικά δίκτυα, καταστήματα και άλλες εταιρείες».
Η ομάδα Snatch «αγοράζει» την πρόσβασή της σε ένα παραβιασμένο δίκτυο, ή συνεργάζεται με άλλους hackers για να παραβιάσει μια εταιρεία.
Από τη στιγμή που αποκτούν πρόσβαση στο δίκτυο μιας εταιρείας, οι hackers δεν βιάζονται να κρυπτογραφήσουν τα αρχεία. Μπορεί να μείνουν μέσα στο δίκτυο για μέρες ή και εβδομάδες.
Σιγά σιγά κλιμακώνουν την πρόσβαση στους εσωτερικούς ελεγκτές domain και εξαπλώνονται σε όσο το δυνατόν περισσότερους υπολογιστές σε ένα εσωτερικό δίκτυο.
Για να το καταφέρουν αυτό, οι hackers χρησιμοποιούν νόμιμα εργαλεία και penetration testing toolkits, όπως τα Cobalt Strike, Advanced Scanner Port, Process Hacker, IObit Uninstaller, PowerTool και PsExec. Πρόκειται για κοινά εργαλεία. Επομένως, τα περισσότερα προϊόντα προστασίας από ιούς δεν ενεργοποιούνται από αυτά.
Στη συνέχεια, επανεκκινούν τους επηρεαζόμενους υπολογιστές σε Safe Mode και ξεκινούν τη διαδικασία κρυπτογράφησης των αρχείων.
Κλοπή δεδομένων
Η Sophos ανακάλυψε ότι οι hackers πίσω από το Snatch δεν κρυπτογραφούν απλά τα αρχεία, όπως κάνουν όλα τα ransomware. Η hacking ομάδα συχνά κλέβει τα δεδομένα.
Αυτό καθιστά την ομάδα εξαιρετικά επικίνδυνη, γιατί τα θύματα μπορεί να δώσουν τα λύτρα, ωστόσο τα δεδομένα βρίσκονται ακόμα στα χέρια των επιτιθέμενων και μπορούν να διαρρεύσουν στο διαδίκτυο ή να πουληθούν.
Αυτός ο τύπος συμπεριφοράς είναι πολύ ασυνήθιστος και μπορεί να κάνει το Snatch ένα από τα πιο επικίνδυνα ransomware.
Ωστόσο, αυτός ο τύπος επίθεσης απαιτεί πολύ χρόνο και γι’ αυτό ο αριθμός των θυμάτων του Snatch είναι πολύ μικρός (μέχρι τώρα).
Η Coverware, μια εταιρεία που ειδικεύεται σε διαπραγματεύσεις μεταξύ θυμάτων ransomware και επιτιθέμενων, δήλωσε ότι έχει αναλάβει 12 περιπτώσεις μεταξύ Ιουλίου και Οκτωβρίου 2019, που σχετίζονται με το Snatch ransomware. Οι πληρωμές κυμαίνονταν από $ 2.000 έως $ 35.000.
Η Sophos συνιστά στις εταιρείες να ασφαλίζουν τις θύρες και τις υπηρεσίες που εκτίθενται στο διαδίκτυο για να παραμείνουν ασφαλείς.
