Los investigadores de ciberseguridad han descubierto una nueva variante del ransomware Snatch que primero reinicia las computadoras Windows infectadas en modo seguro y solo luego encripta los archivos de las víctimas para evitar la detección de antivirus.
A diferencia del malware tradicional, el nuevo ransomware Snatch elige ejecutarse en modo seguro porque en el modo de diagnóstico el sistema operativo Windows comienza con un conjunto mínimo de controladores y servicios sin cargar la mayoría de los programas de inicio de terceros, incluido el software antivirus.
Snatch ha estado activo desde al menos el verano de 2018, pero los investigadores de SophosLabs detectaron la mejora del Modo seguro para esta cepa de ransomware solo en los recientes ataques cibernéticos contra diversas entidades que investigaron.
“Los investigadores de SophosLabs han estado investigando una serie continua de ataques de ransomware en los que el ejecutable del ransomware obliga a la máquina de Windows a reiniciarse en modo seguro antes de comenzar el proceso de cifrado”, dicen los investigadores .
“El ransomware, que se llama a sí mismo Snatch, se configura como un servicio llamado SuperBackupMan con la ayuda del registro de Windows que se ejecutará durante un arranque en modo seguro”.
“Cuando la computadora vuelve a funcionar después del reinicio, esta vez en modo seguro, el malware usa el componente net.exe de Windows para detener el servicio SuperBackupMan, y luego usa el componente vssadmin.exe de Windows para eliminar todas las instantáneas de volumen en el sistema, que impide la recuperación forense de los archivos cifrados por el ransomware “.
Lo que hace que Snatch sea diferente y peligroso de los demás es que, además del ransomware, también es un ladrón de datos. Snatch incluye un sofisticado módulo de robo de datos, que permite a los atacantes robar grandes cantidades de información de las organizaciones objetivo.
Aunque Snatch está escrito en Go, un lenguaje de programación conocido para el desarrollo de aplicaciones multiplataforma, los autores han diseñado este ransomware para ejecutarse solo en la plataforma Windows.
“Snatch puede ejecutarse en las versiones más comunes de Windows, del 7 al 10, en versiones de 32 y 64 bits. Las muestras que hemos visto también están empaquetadas con el paquete de código abierto UPX para ofuscar su contenido”, dicen los investigadores.
Además de esto, los atacantes detrás del ransomware Snatch también ofrecen oportunidades de asociación a otros cibercriminales y empleados corruptos que poseen credenciales y puertas traseras en grandes organizaciones y pueden explotarlo para implementar el ransomware.
Como se muestra en la captura de pantalla tomada de un foro subterráneo, uno de los miembros del grupo publicó una oferta “buscando socios afiliados con acceso a la inyección RDP \ VNC \ TeamViewer \ WebShell \ SQL en redes corporativas, tiendas y otras compañías”.
Utilizando credenciales forzadas o robadas, los atacantes primero obtienen acceso a la red interna de la compañía y luego ejecutan varios administradores legítimos del sistema y herramientas de prueba de penetración para comprometer los dispositivos dentro de la misma red sin levantar ninguna bandera roja.
“También encontramos una gama de herramientas legítimas que han sido adoptadas por delincuentes instalados en máquinas dentro de la red del objetivo, incluyendo Process Hacker, IObit Uninstaller, PowerTool y PsExec. Los atacantes generalmente las usan para tratar de desactivar los productos AV”. Los investigadores dicen.
Coveware, una compañía que se especializa en negociaciones de extorsión entre atacantes y víctimas de ransomware, le dijo a Sophos que negociaron con los delincuentes de Snatch “en 12 ocasiones entre julio y octubre de 2019 en nombre de sus clientes” con pagos de rescate que oscilan entre $ 2,000 y $ 35,000 en bitcoins .
Para evitar ataques de ransomware, se recomienda a las organizaciones que no expongan sus servicios críticos y puertos seguros a la Internet pública, y si es necesario, asegúrelos usando una contraseña segura con autenticación de múltiples factores.