Detección de Ataques de Ransomware Snatch

Últimas Amenazas

septiembre 03, 2020

2 min de lectura

Detección de Ataques de Ransomware Snatch

Eugene Tkachenko
Eugene Tkachenko Líder del Programa Comunitario linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

El ransomware sigue siendo una de las amenazas más serias para las redes corporativas, y el ransomware Snatch es uno de los «invitados» más molestos que apareció relativamente hace poco. Las primeras infecciones se registraron hace aproximadamente dos años, pero los ataques serios a organizaciones comenzaron solo en abril de 2019, y desde entonces, los apetitos y habilidades de los atacantes han ido creciendo, alimentados por noticias de compromisos de grandes empresas y pagos de rescates de siete cifras.

Los atacantes detrás del ransomware Snatch son de habla rusa y realizan capacitaciones gratuitas para afiliados de habla rusa enfocándose en la velocidad de ataque, y solo toma unas pocas horas desde el momento en que una organización es comprometida hasta que se cifran los archivos. Sin embargo, algunos afiliados son más profesionales y roban datos antes de cifrar los sistemas para tener una ventaja adicional sobre la empresa atacada.

Los ciberdelincuentes generalmente llevan a cabo un ataque de fuerza bruta en un host RDP expuesto, tras un compromiso exitoso, atacan el servidor de respaldo, el Controlador de Dominio y también instalan ransomware en todos los sistemas a los que pueden acceder. Después de eso, los sistemas infectados se reinician en Modo Seguro y el ransomware elimina las Copias Sombra de Volumen y cifra los archivos.

Nueva regla de caza de amenazas comunitaria por Osman Demir permite descubrir señales de ransomware Snatch antes de que el proceso de cifrado de datos comience:

https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Impacto

Técnicas: Datos cifrados para Impacto (T1486)


¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Últimas Amenazas Articles

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Zahorulko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Zahorulko Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Zahorulko