ΑρχικήsecuritySnake Ransomware: απομονώνει μολυσμένα συστήματα πριν τα κρυπτογραφήσει

Snake Ransomware: απομονώνει μολυσμένα συστήματα πριν τα κρυπτογραφήσει

Ερευνητές από την Deep Instinct, ανακάλυψαν πρόσφατα ένα νέο στέλεχος του Snake ransomware, το οποίο απομονώνει τα συστήματα που έχει μολύνει, ώστε να μπορεί να κρυπτογραφεί τα αρχεία τους χωρίς παρεμβολές.   

Snake

Τον Ιανουάριο παρατηρήθηκε ένα νέο κύμα επιθέσεων που στόχευαν κυρίως εταιρείες. Η SentinelOne είχε ανακαλύψει επίσης ότι το Snake Ransomware στοχεύει διαδικασίες και αρχεία που σχετίζονται με βιομηχανικά συστήματα ελέγχου (ICS).

Οι δημιουργοί του ransomware, δεν έκαναν κάποια ενέργεια όταν άρχισε η εξάπλωση του κορωνοϊού, ωστόσο στις 4 Μαΐου ξεκίνησαν μια νέα επιχείρηση εναντίον μεγάλων εταιρειών σε όλο τον κόσμο.

Όπως πιθανολογείται, μερικά από τα θύματα του Snake Ransomware είναι το Fresenius Group, ο μεγαλύτερος πάροχος νοσοκομειακών υπηρεσιών στην Ευρώπη, καθώς και η ιαπωνική αυτοκινητοβιομηχανία Honda.

Το Snake ransomware λειτουργεί σταματώντας ορισμένες διεργασίες, στις οποίες περιλαμβάνονται όσες σχετίζονται με το ICS, για την κρυπτογράφηση των σχετικών αρχείων.

Ωστόσο στα πιο πρόσφατα δείγματα του ransomware, έχει παρατηρηθεί η ικανότητα ενεργοποίησης και απενεργοποίησης του τοίχους προστασίας, καθώς και η εκμετάλλευση ορισμένων εντολών, ώστε να μην μπορούν να γίνουν συνδέσεις στο σύστημα.

«Πριν ξεκινήσει την κρυπτογράφηση, το Snake θα χρησιμοποιήσει το τείχος προστασίας των Windows για να αποκλείσει τυχόν εισερχόμενες και εξερχόμενες συνδέσεις δικτύου στο μηχάνημα του θύματος που δεν έχουν διαμορφωθεί στο τείχος προστασίας. Το ενσωματωμένο εργαλείο netsh των Windows θα χρησιμοποιηθεί για το σκοπό αυτό», αναφέρει στην έρευνά της η Deep Instinct. «Αποσυνδεδεμένο από τον έξω κόσμο, το Snake στη συνέχεια θα σταματήσει τις διαδικασίες που ενδέχεται να επηρεάσουν την κρυπτογράφηση. Η λίστα περιέχει διαδικασίες που σχετίζονται με το ICS και αρκετές λύσεις ασφαλείας και δημιουργίας αντιγράφων ασφαλείας.»

Το ransomware σταματά οποιαδήποτε διαδικασία θα μπορούσε να επηρεάσει την κρυπτογράφηση, συμπεριλαμβανομένων εκείνων που σχετίζονται με βιομηχανικό λογισμικό, λύσεις δημιουργίας αντιγράφων ασφαλείας και φυσικά τα εργαλεία ασφαλείας. Στη συνέχεια, το κακόβουλο λογισμικό διαγράφει επίσης σκιώδη αντίγραφα αποτρέποντας έτσι και τη δυνατότητα ανάκτησης των αρχείων.

Μόλις καταφέρει να ολοκληρώσει αυτές τις ενέργειες, στη συνέχεια ξεκινάει τη διαδικασία κρυπτογράφησης. Τα αρχεία που στοχεύει είναι κυρίως κρίσιμοι φάκελοι, καθώς και βάσεις δεδομένων, έγγραφα, αρχεία επεκτάσεων κ.α.

Το κακόβουλο λογισμικό προσθέτει μια τυχαία συμβολοσειρά πέντε χαρακτήρων στην επέκταση των κρυπτογραφημένων αρχείων και τη λέξη EKANS στο τέλος του αρχείου.

Αν και το βασικό σενάριο των ransomware είναι η κρυπτογράφηση σημαντικών αρχείων και η απαίτηση λύτρων για την επαναφορά τους, οι μέθοδοι που χρησιμοποιούνται και οι δημιουργοί τους, συνεχίζουν να εξελίσσονται με το πέρασμα του χρόνου.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS