Erkennung von Snatch-Ransomware-Angriffen

[post-views]
September 03, 2020 · 2 min zu lesen
Erkennung von Snatch-Ransomware-Angriffen

Ransomware bleibt eine der ernsthaftesten Bedrohungen für Unternehmensnetzwerke, und die Snatch-Ransomware ist einer der lästigsten „Gäste“, die relativ kürzlich aufgetaucht sind. Die ersten Infektionen wurden vor etwa zwei Jahren verzeichnet, aber ernsthafte Angriffe auf Organisationen begannen erst im April 2019, und seitdem wachsen die Appetits und Fähigkeiten der Angreifer, angetrieben durch Nachrichten über die Kompromittierung großer Unternehmen und Lösegeldzahlungen in Millionenhöhe.

Die Angreifer hinter der Snatch-Ransomware sind russischsprachig und führen kostenlose Schulungen für russischsprachige Partner durch, die sich auf die Angriffsgeschwindigkeit konzentrieren. Es dauert nur wenige Stunden vom Moment der Kompromittierung einer Organisation bis zur Verschlüsselung der Dateien. Allerdings sind einige Partner professioneller und stehlen Daten, bevor sie Systeme verschlüsseln, um zusätzliches Druckmittel auf das angegriffene Unternehmen zu haben.

Cyberkriminelle führen in der Regel einen Brute-Force-Angriff auf einen exponierten RDP-Host durch. Nach einem erfolgreichen Kompromiss greifen sie den Backup-Server, den Domain-Controller an und installieren Ransomware auf allen Systemen, auf die sie zugreifen können. Danach starten die infizierten Systeme im abgesicherten Modus neu, und die Ransomware löscht Volume Shadow Copies und verschlüsselt Dateien.

Neue Bedrohungsjagdregel der Gemeinschaft von Osman Demir ermöglicht es, Anzeichen von Snatch-Ransomware zu erkennen, bevor der Datenverschlüsselungsprozess gestartet wird:

https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1

 

Die Regel hat Übersetzungen für folgende Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Einfluss

Techniken: Daten für Einfluss verschlüsselt (T1486)


Bereit, SOC Prime TDM auszuprobieren? Kostenlos registrieren. Oder dem Threat Bounty Program beitreten um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Telychko
Alle Nachrichten