Các nhà nghiên cứu về an ninh mạng đã phát hiện ra một biến thể mới của ransomware Snatch, đầu tiên sẽ khởi động lại các máy tính Windows bị nhiễm vào Chế độ an toàn (Safe Mode) và sau đó mã hóa các tệp của nạn nhân để tránh bị phần mềm diệt virus phát hiện.
Không giống như phần mềm độc hại truyền thống, phần mềm ransomware Snatch mới chọn chạy ở Chế độ an toàn vì ở chế này, hệ điều hành Windows khởi động với một bộ trình điều khiển và dịch vụ tối thiểu mà không tải hầu hết các chương trình khởi động của bên thứ ba, bao gồm cả phần mềm chống vi-rút.
Snatch đã bắt đầu hoạt động từ mùa hè năm 2018, nhưng các nhà nghiên cứu đã phát hiện ra sự tăng cường Chế độ an toàn cho chủng ransomware này chỉ trong các cuộc tấn công mạng gần đây chống lại các thực thể khác nhau mà họ điều tra.
“Chúng tôi đã điều tra một loạt các cuộc tấn công ransomware đang diễn ra trong đó các ransomware này buộc máy Windows phải khởi động lại vào Chế độ an toàn trước khi bắt đầu quá trình mã hóa “, các nhà nghiên cứu cho biết.
“Các ransomware, tự gọi là Snatch, tự thiết lập như một dịch vụ [được gọi là SuperBackupMan với sự trợ giúp của Windows registry] sẽ chạy trong khi khởi động Chế độ an toàn.”
“Khi máy tính hoạt động trở lại sau khi khởi động lại, lần này ở Chế độ an toàn, phần mềm độc hại sử dụng thành phần Windows net.exe để tạm dừng dịch vụ SuperBackupMan, sau đó sử dụng thành phần Windows vssadmin.exe để xóa tất cả Volume Shadow Copies, trên hệ thống, ngăn chặn sự phục hồi của các tập tin được mã hóa bởi ransomware.”
Điều làm cho Snatch trở nên khác biệt và nguy hiểm so với những người khác là ngoài ransomware, nó còn là một kẻ đánh cắp dữ liệu. Snatch bao gồm một mô-đun đánh cắp dữ liệu tinh vi, cho phép kẻ tấn công đánh cắp lượng thông tin khổng lồ từ các tổ chức mục tiêu.
Mặc dù Snatch được viết bằng Go, một ngôn ngữ lập trình được biết đến để phát triển ứng dụng đa nền tảng, các tác giả đã thiết kế phần mềm ransomware này chỉ chạy trên nền tảng Windows.
“Snatch có thể chạy trên hầu hết các phiên bản Windows phổ biến, từ 7 đến 10, trong các phiên bản 32 và 64 bit. Các mẫu mà chúng tôi thấy cũng được đóng gói với trình đóng gói mã nguồn mở UPX để làm mờ nội dung của chúng”, các nhà nghiên cứu cho biết.
Bên cạnh đó, những kẻ tấn công đằng sau Snatch ransomware cũng cung cấp cơ hội hợp tác cho các tội phạm mạng và nhân viên lừa đảo khác, những người có thông tin và backdoor vào các tổ chức lớn và có thể khai thác nó để triển khai ransomware.
Như được hiển thị trong ảnh chụp màn hình từ một diễn đàn ngầm, một trong các thành viên của nhóm đã đăng một đề nghị “tìm kiếm các đối tác liên kết có quyền truy cập vào RDP \ VNC \ TeamViewer \ WebShell \ SQL trong các mạng công ty, cửa hàng và các mục tiêu tiềm năng khác.”
Sự dụng brute-forced hoặc các thông tin đăng nhập bị đánh cắp, những kẻ tấn công trước tiên có quyền truy cập vào mạng nội bộ của công ty và sau đó chạy riêng một số công cụ quản trị hệ thống và kiểm thử thâm nhập hợp pháp để thỏa hiệp các thiết bị trong cùng một mạng mà không bị báo động.
“Chúng tôi cũng tìm thấy một loạt các công cụ hợp pháp khác đã được bọn tội phạm cài đặt trên các máy trong mạng của mục tiêu, bao gồm Process Hacker, IObit Uninstaller, PowerTool và PsExec. Những kẻ tấn công thường sử dụng chúng để cố gắng vô hiệu hóa các sản phẩm AV,” Các nhà nghiên cứu nói.
Coveware, một công ty chuyên đàm phán tống tiền giữa những kẻ tấn công và nạn nhân ransomware, nói rằng họ đã đàm phán với bọn tội phạm Snatch “trong 12 lần từ tháng 7 đến tháng 10 năm 2019 thay cho khách hàng của họ” với số tiền chuộc từ 2.000 đến 35.000 đô la thông qua bitcoin.
Để ngăn chặn các cuộc tấn công của ransomware, các tổ chức được khuyến nghị không để lộ các dịch vụ quan trọng và cổng an toàn của họ với Internet công cộng, và nếu được yêu cầu, hãy bảo mật chúng bằng mật khẩu mạnh với xác thực đa yếu tố.
