Il ransomware continua a essere una delle minacce più gravi per le reti aziendali, e il ransomware Snatch è uno dei “ospiti” più fastidiosi che è emerso relativamente di recente. Le prime infezioni sono state registrate circa due anni fa, ma attacchi seri alle organizzazioni sono iniziati solo nell’aprile 2019, e da allora, gli appetiti e le competenze degli attaccanti sono cresciuti, alimentati da notizie di compromissioni di grandi aziende e pagamenti di riscatti a sei cifre.
Gli attaccanti dietro il ransomware Snatch sono russofoni e conducono formazione gratuita per affiliati russofoni, concentrandosi sulla velocità degli attacchi, e bastano solo poche ore dal momento in cui un’organizzazione è compromessa per criptare i file. Tuttavia, alcuni affiliati sono più professionali e rubano dati prima di criptare i sistemi, per avere un ulteriore leva sull’azienda attaccata.
I criminali informatici di solito eseguono un attacco brute force su un host RDP esposto, dopo una compromissione riuscita, attaccano il server di backup, il Domain Controller e installano anche il ransomware su tutti i sistemi a cui possono accedere. Dopo di che, i sistemi infetti si riavviano in Modalità provvisoria e il ransomware elimina le Copie Shadow del Volume e cifra i file.
Nuova regola di caccia alle minacce della comunità da Osman Demir permette di scoprire segni del ransomware Snatch prima che inizi il processo di cifratura dei dati:
https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Impatto
Tecniche: Dati Cifrati per Impatto (T1486)
Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.
