Эксперты Sophos предупредили, что авторы шифровальщика Snatch перезагружают компьютеры своих жертв в Safe Mode, чтобы обойти защитные механизмы и запустить процесс шифрования файлов. Дело в том, что большинство антивирусных решений не работают в безопасном режиме Windows, то есть ничто не мешает малвари действовать.
Исследователи пишут, что вымогатель использует ключ реестра Windows, чтобы запланировать запуск в Safe Mode. Специалисты выражают опасения, что подобный трюк у Snatch вскоре могут перенять и другие хакерские группы, задействовав его для своих вымогателей.
But the most dangerous aspect of the attack is this: Snatch sets itself up as a service that will run even during a Safe Mode reboot, then reboots the box into Safe Mode. This effectively neuters the active protection of many endpoint security tools. Devious! and evil. pic.twitter.com/lqCxhxwg4y
— Andrew Brandt (@threatresearch) December 9, 2019
Snatch активен как минимум с лета 2018 года, хотя о нем мало кто слышал. Дело в том, что шифровальщик не атакует обычных пользователей, а для его распространения не используются массовые рассылки спама или наборы эскплоитов. Вместо этого операторы Snatch тщательно выбирают цели, которыми чаще всего становятся крупные компании, общественные или правительственные организации.
Таким образом, злоумышленники делают ставку не на множество мелких выкупов от рядовых людей, но сразу требуют от компаний и организаций огромные суммы. По похожей схеме работают и другие вымогатели, такие как Ryuk, SamSam, Matrix, BitPaymer и LockerGoga. Единственный публично известный случай атаки Snatch на сегодня, это заражение провайдера ASP.NET, компании SmarterASP.NET, обслуживающей более 440 000 клиентов.
По данным экспертов, операторы Snatch зачастую покупают доступ к корпоративным сетям у других преступников. Так, ранее исследователи обнаруживали рекламу, которую злоумышленники размещали на хакерских форумах. В этих объявлениях авторы вымогателя искали партнеров, которые могли обеспечить доступ к корпоративным сетям, магазинам и так далее посредством RDP, VNC, TeamViewer, WebShell, SQL-инъекций.
Проникнув в чужую сеть, операторы Snatch не атакуют сразу. Сначала несколько дней или недель злоумышленники наблюдают, изучают цель, получают доступ к контроллеру домена, откуда малварь можно распространить на максимально возможное количество компьютеров. Для этого используются такие известные пентестерские инструменты, как Cobalt Strike, Advanced Port Scanner, Process Hacker, IObit Uninstaller, PowerTool и PsExec. Подозрения у защитных механизмов и антивирусов эти легитимные решения, как правило, не вызывают.
Также, по информации Sophos, операторы Snatch занимаются не только шифрованием данных, но и похищают у своих жертв различную информацию. То есть компании рискуют потерять свои данные даже в том случае, если они заплатили выкуп.