Détection d’une attaque par ransomware Snatch

[post-views]
septembre 03, 2020 · 2 min de lecture
Détection d’une attaque par ransomware Snatch

Le ransomware continue d’être l’une des menaces les plus graves pour les réseaux d’entreprise, et le ransomware Snatch est l’un des « invités » les plus ennuyeux apparus relativement récemment. Les premières infections ont été enregistrées il y a environ deux ans, mais les attaques sérieuses contre les organisations n’ont commencé qu’en avril 2019, et depuis lors, les appétits et les compétences des attaquants n’ont cessé de croître, alimentés par les nouvelles du compromis de grandes entreprises et des paiements de rançons à sept chiffres.

Les attaquants derrière le ransomware Snatch sont russophones et ils dispensent une formation gratuite aux affiliés russophones en mettant l’accent sur la rapidité de l’attaque, et il ne faut que quelques heures à partir du moment où une organisation est compromise pour chiffrer les fichiers. Cependant, certains affiliés sont plus professionnels et volent des données avant de chiffrer les systèmes afin d’avoir un levier supplémentaire sur l’entreprise attaquée.

Les cybercriminels effectuent généralement une attaque par force brute sur un hôte exposé RDP, après un compromis réussi, ils attaquent le serveur de sauvegarde, le contrôleur de domaine et installent également le ransomware sur tous les systèmes auxquels ils peuvent accéder. Après cela, les systèmes infectés redémarrent en mode sans échec et le ransomware supprime les copies de l’ombre de volume et chiffre les fichiers.

Nouvelle règle communautaire de chasse aux menaces par Osman Demir permet de découvrir les signes du ransomware Snatch avant que le processus de chiffrement des données ne commence :

https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1

 

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Impact

Techniques : Données chiffrées pour l’impact (T1486)


Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Telychko
Toutes les actualités