Η Υπηρεσία Κυβερνοασφάλειας και Υποδομής των
ΗΠΑ
(
CISA
) και το Ομοσπονδιακό Γραφείο Ερευνών (FBI) εξέδωσαν συμβουλευτική προειδοποίηση σε οργανισμούς σχετικά με την επιχείρηση Snatch ransomware.
Η συμβουλευτική είναι μέρος της καμπάνιας ζευγών #StopRansomware, στην οποία οι δύο περιγράφουν λεπτομερώς τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP), καθώς και δείκτες συμβιβασμού (IOC), ενεργών και ανατρεπτικών λειτουργιών ransomware προς το παρόν, με την ελπίδα να βοηθήσουν τους οργανισμούς προστατέψου από τις απειλές λίγο καλύτερα.
Παρόλο που το Snatch εμφανίστηκε για πρώτη φορά κάποια στιγμή το 2018, τα δεδομένα που παρέχουν οι δύο οργανισμοί είναι σχετικά νέα, με ορισμένα δεδομένα έρευνας να χρονολογούνται στις αρχές Ιουνίου του τρέχοντος έτους. Σύμφωνα με τη συμβουλευτική, το Snatch είναι ένα
μοντέλο
ransomware-as-a-service, με το οποίο διαφορετικές ομάδες παραγόντων απειλών νοικιάζουν τον κρυπτογράφηση και την υποδομή, προκειμένου να εκτελούν καμπάνιες ransomware.
Εξέλιξη στην τακτική
Ενώ οι ηθοποιοί απειλών Snatch συνέχισαν να εξελίσσουν «συνεπώς» τις τακτικές απειλής τους, σύμφωνα με τη συμβουλευτική, συμμορφώθηκαν με ό,τι έκανε η πλειοψηφία – διέφυγαν και κρυπτογραφούσαν ευαίσθητα δεδομένα, στη συνέχεια ζήτησαν πληρωμή σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης και σε αντάλλαγμα για τη μη διαρροή τα δεδομένα στον σκοτεινό ιστό.
«Το FBI και η CISA ενθαρρύνουν τους οργανισμούς να εφαρμόσουν τις συστάσεις του
Τμήμα μετριασμού
αυτού του CSA για να μειώσει την πιθανότητα και τον αντίκτυπο των περιστατικών ransomware», είπαν οι δύο.
Τον Δεκέμβριο του 2019, το Snatch ransomware βρέθηκε να
επα
νεκκινεί μολυσμένους
υπολογιστές
σε ασφαλή λειτουργία, για να παρακάμψει λύσεις ασφαλείας. Αυτή η έκδοση ανακαλύφθηκε από ερευνητές ασφαλείας από την ομάδα Sophos Managed Threat Response και τη SophosLabs, η οποία είπε ότι κανένα εργαλείο ασφαλείας δεν λειτουργεί σε ασφαλή λειτουργία, επιτρέποντας στο Snatch να κρυπτογραφεί τα αρχεία αμείωτα.
Σε μια αναφορά για το SiliconANGLE, ειπώθηκε ότι τα πιο πρόσφατα θύματα του Snatch περιλαμβάνουν το Τμήμα Υποθέσεων Βετεράνων της Φλόριντα, τη Zilli, την CEFCO Inc., το Υπουργείο Άμυνας της Νότιας Αφρικής και την Briars Group Ltd.
Ο Michael Mumcuoglu, συνιδρυτής και διευθύνων σύμβουλος της εταιρείας διαχείρισης στάσης σώματος CardinalOps Ltd., δήλωσε στο ίδιο δημοσίευμα ότι οι χειριστές της Snatch ήταν πιο ενεργοί τον τελευταίο ενάμιση χρόνο.