O ransomware continua a ser uma das ameaças mais sérias para redes corporativas, e o ransomware Snatch é um dos “convidados” mais incômodos que surgiu relativamente recentemente. As primeiras infecções foram registradas há cerca de dois anos, mas ataques sérios a organizações começaram apenas em abril de 2019 e, desde então, os apetites e habilidades dos atacantes têm crescido, impulsionados por notícias de comprometimento de grandes empresas e pagamentos de resgates de sete dígitos.
Os atacantes por trás do ransomware Snatch falam russo e conduzem treinamentos gratuitos para afiliados russófonos, focando na velocidade do ataque, e leva apenas algumas horas desde o momento em que uma organização é comprometida até a criptografia dos arquivos. No entanto, alguns afiliados são mais profissionais e roubam dados antes de criptografar os sistemas para ter uma alavancagem adicional na empresa atacada.
Os cibercriminosos geralmente realizam um ataque de força bruta em um host RDP exposto; após um comprometimento bem-sucedido, eles atacam o servidor de backup, o Controlador de Domínio e também instalam ransomware em todos os sistemas que conseguem acessar. Depois disso, os sistemas infectados reiniciam em Modo de Segurança e o ransomware exclui as Cópias Sombra de Volume e criptografa os arquivos.
Nova regra de threat hunting da comunidade por Osman Demir permite descobrir sinais de ransomware Snatch antes que o processo de criptografia de dados seja iniciado:
https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Impacto
Técnicas: Dados Criptografados para Impacto (T1486)
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
