El ransomware sigue siendo una de las amenazas más serias para las redes corporativas, y el ransomware Snatch es uno de los «invitados» más molestos que apareció relativamente hace poco. Las primeras infecciones se registraron hace aproximadamente dos años, pero los ataques serios a organizaciones comenzaron solo en abril de 2019, y desde entonces, los apetitos y habilidades de los atacantes han ido creciendo, alimentados por noticias de compromisos de grandes empresas y pagos de rescates de siete cifras.
Los atacantes detrás del ransomware Snatch son de habla rusa y realizan capacitaciones gratuitas para afiliados de habla rusa enfocándose en la velocidad de ataque, y solo toma unas pocas horas desde el momento en que una organización es comprometida hasta que se cifran los archivos. Sin embargo, algunos afiliados son más profesionales y roban datos antes de cifrar los sistemas para tener una ventaja adicional sobre la empresa atacada.
Los ciberdelincuentes generalmente llevan a cabo un ataque de fuerza bruta en un host RDP expuesto, tras un compromiso exitoso, atacan el servidor de respaldo, el Controlador de Dominio y también instalan ransomware en todos los sistemas a los que pueden acceder. Después de eso, los sistemas infectados se reinician en Modo Seguro y el ransomware elimina las Copias Sombra de Volumen y cifra los archivos.
Nueva regla de caza de amenazas comunitaria por Osman Demir permite descubrir señales de ransomware Snatch antes de que el proceso de cifrado de datos comience:
https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Impacto
Técnicas: Datos cifrados para Impacto (T1486)
¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.
