Обнаруженный и проанализированный поставщиком безопасности Sophos вирус Snatch пытается обойти традиционное программное обеспечение безопасности, перезагружая компьютер в безопасном режиме.
Безопасный режим Windows пытается помочь вам в устранении различных проблем, перезагружая ваш компьютер обычным способом, не загружая определенное программное обеспечение, драйверы или службы. Этот процесс также предотвращает загрузку антивирусного программного обеспечения. И это приводит к тактике, применяемой особо опасным штаммом вымогателей.
Известный как Snatch, вымогатель, описанный Sophos в новостной ленте в понедельник , заставляет ПК с Windows перезагружаться в безопасном режиме, тем самым предотвращая запуск любого антивирусного или защитного программного обеспечения. Snatch, который сам работает в качестве службы в безопасном режиме, шифрует жесткий диск жертвы и пытается заставить пользователя заплатить необходимый выкуп, чтобы иметь возможность снова получить доступ к диску.
Sophos фактически столкнулся со Snatch в прошлом году и сказал, что вымогатели были активны с лета 2018 года. В середине октября 2019 года поставщик средств безопасности должен был помочь целевой организации расследовать и устранить вспышку вируса.
Читайте еще:
Бойтесь Умных колонок! Или что делать с безопасностью в мире умных интернет вещей?
Квантовый прорыв. Почему IT компании боятся квантовых компьютеров?
Что такое Snatch?
Вредоносная программа Snatch включает в себя набор инструментов. По словам представителе Sophos, киберпреступники, вероятно, создали функцию вымогающую данные и отдельную – для кражи и управления ими. Также в этой смеси есть обратная оболочка Cobalt Strike и несколько общедоступных инструментов, которые сами по себе не являются вредоносными, но используются системными администраторами и тестерами в проникновении.
Созданный с помощью программы Google Go, вариант Snatch, замеченный Sophos, может работать только в Windows, включая все версии с 7 по 10 и в 32-разрядных, и в 64-разрядных версиях. Анализируемые образцы Snatch были упакованы упаковщиком UPX с открытым исходным кодом, чтобы скрыть их содержимое.
Преступники, стоящие за Snatch и называющие себя Snatch Team, используют активную модель автоматической атаки, в которой они пытаются обойти корпоративные сети методом перебора на уязвимые учетные записи и службы. Оказавшись внутри, члены команды Snatch пытаются распространить свою атаку внутри сети организации.
Тип вредоносного программного обеспечения, используемого в атаках Snatch, также крал большой объем данных у целевых организаций.
В одном из инцидентов с крупной компанией Sophos обнаружил, что злоумышленники подобрали пароль к учетной записи администратора на сервере Microsoft Azure, а затем смогли войти на сервер, используя протокол удаленного рабочего стола (RDP). Злоумышленники использовали эту же учетную запись для входа в контроллер домена в той же сети, что позволило им осуществлять наблюдение в сети в течение нескольких недель. В этом случае злоумышленникам удалось установить программное обеспечение для наблюдения примерно на 200 компьютерах, около 5% компьютеров в сети этой организации.
Как это работает
В какой-то момент во время атаки часть «вымогателей» загружается на целевой компьютер. Вирус-вымогатель устанавливает себя в качестве службы Windows, которая называется SuperBackupMan, которая устанавливается непосредственно перед перезагрузкой ПК, что дает организации мало или вообще никаких шансов остановить запуск службы вовремя.
Затем злоумышленники используют доступ администратора для запуска средства командной строки Windows BCDEDIT для принудительной перезагрузки компьютера в безопасном режиме. После перезагрузки ПК вредоносная программа использует команду Windows vssadmin.exe для удаления всех теневых копий томов в системе, что предотвращает восстановление файлов, зашифрованных с помощью вымогателей. Наконец, вымогатель шифрует документы на жестком диске.
Sophos сказал, что его система защиты конечных точек была в состоянии обнаружить вымогателей, таким образом предотвращая заражение компьютеров, оснащенных этим продуктом. Но другая компания под названием Coveware, которая занимается переговорами между жертвами вымогателей и злоумышленниками, сообщила Sophos, что в июле этого года она проводила переговоры с преступниками Snatch 12 раз - с июля по октябрь. Требование выкупа в биткойнах колебалось от 2000 до 35000 долларов, но за эти четыре месяца сумма возрасла.
Советы по защите
Чтобы защитить вашу организацию от такого типа вымогателей, Sophos предлагает несколько советов:
· Не подвергайте интерфейс удаленного рабочего стола незащищенному доступу в Интернет. Sophos рекомендует организациям не открывать интерфейс удаленного рабочего стола незащищенному Интернету. Организации, которым необходимо разрешить удаленный доступ определенным устройствам, должны размещать их за VPN в своей сети, чтобы к ним никто не мог получить доступ без учетных данных VPN.
· Защитите другие инструменты удаленного доступа. Известно, что злоумышленники хотели нанять или заключить контракт с другими преступниками, способными проникнуть в сети с помощью таких инструментов удаленного доступа, как VNC и TeamViewer. Они также искали людей с опытом использования веб-оболочек или взлома серверов SQL с помощью атак с использованием SQL. Любые инструменты удаленного доступа к Интернету и другие уязвимые программы представляют опасность, если их оставить без присмотра.
· Используйте многофакторную аутентификацию для администраторов. Организациям следует настроить многофакторную аутентификацию для пользователей с административными привилегиями, чтобы злоумышленникам было сложнее использовать эти учетные данные.
· Инвентаризация ваших устройств. Большинство первоначальных точек доступа и точек опоры, которые Sophos обнаружил в связи с Snatch, были на незащищенных и не контролируемых устройствах. Организациям необходимо регулярно проводить тщательные инвентаризационные проверки всех устройств, чтобы убедиться в отсутствии пробелов.
· Поиск угроз в сети. Вымогатель Snatch начал действовать после того, как у злоумышленников было несколько дней необнаруженного, неограниченного доступа к сети. Полная программа поиска угроз может потенциально идентифицировать этот тип деятельности, прежде чем вымогатель сможет захватить ваш жесткий диск.
Компания Futureinapps занимается созданием сложных и безопасных IT продуктов для любой ниши. Мы всегда держим руку на пульсе последних новостей IT. Подписывайтесь на нас в Facebook и Яндекс. Дзен и будьте в курсе!
