QR code per la pagina originale

Snatch: ransomware che colpisce riavviando Windows

Un report di Sophos analizza in dettaglio le tattiche, le tecniche e le procedure usate da Snatch, che comprendono il riavvio dei PC in Safe Mode.

,

Sophos, azienda specializzata in sicurezza, ha individuato una nuova pericolosa variante del ransomware Snatch. Nel dettaglio, la società, nel suo report, ha illustrato tutte le caratteristiche di questa nuova minaccia ed in particolare le modalità di attacco. Questa nuova versione attacca anche durante il riavvio dei PC Windows in Safe Mode per aggirare le protezioni basate sull’analisi comportamentale che intercettano le attività tipiche dei ransomware. Sophos ritiene che questa sia una nuova tecnica di attacco adottata dai cybercriminali per evadere le difese.

I cybercriminali che usano Snatch esfiltrano dati prima che il ransomware inizi il suo attacco. Questa particolarità è comune ad altri gruppi di ransomware come Bitpaymer. L’azienda prevede che questa tendenza del ransomware di sottrarre dati prima di avviare la cifratura crittografica sia destinata ad affermarsi sempre più. Qualora venissero colpite da Snatch, dunque, le aziende tenute a rispettare il GDPR, il California Consumer Privacy Act e altre normative simili potrebbero essere obbligate a notificare la violazione alle autorità preposte.

Snatch costituisce un esempio di attacco attivo automatico, una categoria di malware descritta nel 2020 Threat Report di SophosLabs. Una volta entrati nel sistema abusando dei servizi di accesso remoto, gli autori dell’attacco agiscono manualmente al fine di muoversi lateralmente e provocare danni. Come spiegato nel report dedicato a Snatch, i cybercriminali entrano attraverso servizi di accesso remoto IT non protetti come (ma non solo) Remote Desktop Protocol (RDP). Il report porta degli esempi di come chi attacca utilizzando Snatch ricerchi nei forum del Dark Web potenziali collaboratori abili nel compromettere i servizi di accesso remoto.

Sophos ha condiviso anche una serie di consigli su come difendersi da questa pericolosa minaccia informatica.

  • Essere proattivi andando a caccia delle minacce: avvalersi di un team interno o esterno di esperti specializzati nella sicurezza per tenere costantemente sotto controllo le minacce
  • Implementare tecniche di machine learning/deep learning, mitigazione attiva e rilevamento comportamentale nella sicurezza degli endpoint
  • Dove possibile, identificare e chiudere i servizi di accesso remoto aperti alla rete Internet pubblica
  • Qualora l’accesso remoto fosse necessario, utilizzare una VPN con autenticazione multi-fattore, auditing delle password e controllo preciso sugli accessi oltre al monitoraggio attivo dell’accesso remoto
  • Qualsiasi server con accesso remoto aperto sulla rete Internet pubblica deve essere aggiornato con le patch più recenti e protetto da controlli preventivi (come software per la protezione degli endpoint), ed essere attivamente monitorato alla ricerca di login anomali e altri comportamenti non normali
  • Gli utenti collegati ai servizi di accesso remoto dovrebbero avere privilegi limitati per il resto della rete corporate
  • Gli amministratori dovrebbero adottare tecniche di autenticazione multi-fattore e utilizzare un account amministrativo diverso dal loro normale account utente
  • Monitorare attivamente le porte RDP aperte nello spazio IP pubblico