Rilevamento degli Attacchi Ransomware Snatch

Il ransomware continua a essere una delle minacce più gravi per le reti aziendali, e il ransomware Snatch è uno dei “ospiti” più fastidiosi che è emerso relativamente di recente. Le prime infezioni sono state registrate circa due anni fa, ma attacchi seri alle organizzazioni sono iniziati solo nell’aprile 2019, e da allora, gli appetiti e le competenze degli attaccanti sono cresciuti, alimentati da notizie di compromissioni di grandi aziende e pagamenti di riscatti a sei cifre.

Gli attaccanti dietro il ransomware Snatch sono russofoni e conducono formazione gratuita per affiliati russofoni, concentrandosi sulla velocità degli attacchi, e bastano solo poche ore dal momento in cui un’organizzazione è compromessa per criptare i file. Tuttavia, alcuni affiliati sono più professionali e rubano dati prima di criptare i sistemi, per avere un ulteriore leva sull’azienda attaccata.

I criminali informatici di solito eseguono un attacco brute force su un host RDP esposto, dopo una compromissione riuscita, attaccano il server di backup, il Domain Controller e installano anche il ransomware su tutti i sistemi a cui possono accedere. Dopo di che, i sistemi infetti si riavviano in Modalità provvisoria e il ransomware elimina le Copie Shadow del Volume e cifra i file.

Nuova regola di caccia alle minacce della comunità da Osman Demir permette di scoprire segni del ransomware Snatch prima che inizi il processo di cifratura dei dati:

https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Impatto

Tecniche: Dati Cifrati per Impatto (T1486)

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.