Erkennung von Snatch-Ransomware-Angriffen

Neueste Bedrohungen

September 03, 2020

2 min zu lesen

Erkennung von Snatch-Ransomware-Angriffen

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Ransomware bleibt eine der ernsthaftesten Bedrohungen für Unternehmensnetzwerke, und die Snatch-Ransomware ist einer der lästigsten „Gäste“, die relativ kürzlich aufgetaucht sind. Die ersten Infektionen wurden vor etwa zwei Jahren verzeichnet, aber ernsthafte Angriffe auf Organisationen begannen erst im April 2019, und seitdem wachsen die Appetits und Fähigkeiten der Angreifer, angetrieben durch Nachrichten über die Kompromittierung großer Unternehmen und Lösegeldzahlungen in Millionenhöhe.

Die Angreifer hinter der Snatch-Ransomware sind russischsprachig und führen kostenlose Schulungen für russischsprachige Partner durch, die sich auf die Angriffsgeschwindigkeit konzentrieren. Es dauert nur wenige Stunden vom Moment der Kompromittierung einer Organisation bis zur Verschlüsselung der Dateien. Allerdings sind einige Partner professioneller und stehlen Daten, bevor sie Systeme verschlüsseln, um zusätzliches Druckmittel auf das angegriffene Unternehmen zu haben.

Cyberkriminelle führen in der Regel einen Brute-Force-Angriff auf einen exponierten RDP-Host durch. Nach einem erfolgreichen Kompromiss greifen sie den Backup-Server, den Domain-Controller an und installieren Ransomware auf allen Systemen, auf die sie zugreifen können. Danach starten die infizierten Systeme im abgesicherten Modus neu, und die Ransomware löscht Volume Shadow Copies und verschlüsselt Dateien.

Neue Bedrohungsjagdregel der Gemeinschaft von Osman Demir ermöglicht es, Anzeichen von Snatch-Ransomware zu erkennen, bevor der Datenverschlüsselungsprozess gestartet wird:

https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1

 

Die Regel hat Übersetzungen für folgende Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Einfluss

Techniken: Daten für Einfluss verschlüsselt (T1486)


Bereit, SOC Prime TDM auszuprobieren? Kostenlos registrieren. Oder dem Threat Bounty Program beitreten um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Zahorulko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Zahorulko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Zahorulko