Detección de Ataques de Ransomware Snatch

[post-views]
septiembre 03, 2020 · 2 min de lectura
Detección de Ataques de Ransomware Snatch

El ransomware sigue siendo una de las amenazas más serias para las redes corporativas, y el ransomware Snatch es uno de los «invitados» más molestos que apareció relativamente hace poco. Las primeras infecciones se registraron hace aproximadamente dos años, pero los ataques serios a organizaciones comenzaron solo en abril de 2019, y desde entonces, los apetitos y habilidades de los atacantes han ido creciendo, alimentados por noticias de compromisos de grandes empresas y pagos de rescates de siete cifras.

Los atacantes detrás del ransomware Snatch son de habla rusa y realizan capacitaciones gratuitas para afiliados de habla rusa enfocándose en la velocidad de ataque, y solo toma unas pocas horas desde el momento en que una organización es comprometida hasta que se cifran los archivos. Sin embargo, algunos afiliados son más profesionales y roban datos antes de cifrar los sistemas para tener una ventaja adicional sobre la empresa atacada.

Los ciberdelincuentes generalmente llevan a cabo un ataque de fuerza bruta en un host RDP expuesto, tras un compromiso exitoso, atacan el servidor de respaldo, el Controlador de Dominio y también instalan ransomware en todos los sistemas a los que pueden acceder. Después de eso, los sistemas infectados se reinician en Modo Seguro y el ransomware elimina las Copias Sombra de Volumen y cifra los archivos.

Nueva regla de caza de amenazas comunitaria por Osman Demir permite descubrir señales de ransomware Snatch antes de que el proceso de cifrado de datos comience:

https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Impacto

Técnicas: Datos cifrados para Impacto (T1486)


¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Telychko
Todas las noticias