Detecção de Ataque de Ransomware Snatch

[post-views]
Setembro 03, 2020 · 2 min de leitura
Detecção de Ataque de Ransomware Snatch

O ransomware continua a ser uma das ameaças mais sérias para redes corporativas, e o ransomware Snatch é um dos “convidados” mais incômodos que surgiu relativamente recentemente. As primeiras infecções foram registradas há cerca de dois anos, mas ataques sérios a organizações começaram apenas em abril de 2019 e, desde então, os apetites e habilidades dos atacantes têm crescido, impulsionados por notícias de comprometimento de grandes empresas e pagamentos de resgates de sete dígitos.

Os atacantes por trás do ransomware Snatch falam russo e conduzem treinamentos gratuitos para afiliados russófonos, focando na velocidade do ataque, e leva apenas algumas horas desde o momento em que uma organização é comprometida até a criptografia dos arquivos. No entanto, alguns afiliados são mais profissionais e roubam dados antes de criptografar os sistemas para ter uma alavancagem adicional na empresa atacada.

Os cibercriminosos geralmente realizam um ataque de força bruta em um host RDP exposto; após um comprometimento bem-sucedido, eles atacam o servidor de backup, o Controlador de Domínio e também instalam ransomware em todos os sistemas que conseguem acessar. Depois disso, os sistemas infectados reiniciam em Modo de Segurança e o ransomware exclui as Cópias Sombra de Volume e criptografa os arquivos.

Nova regra de threat hunting da comunidade por Osman Demir permite descobrir sinais de ransomware Snatch antes que o processo de criptografia de dados seja iniciado:

https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1

 

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Impacto

Técnicas: Dados Criptografados para Impacto (T1486)


Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware 4 min de leitura Ameaças Mais Recentes Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware by Veronika Telychko
Todas as notícias