Snatch Ransomware reinicia el sistema para infiltrarse en computadoras con Windows

Snatch Ransomware, el nuevo ransomware en la ciudad tiene éxito en infiltrarse en la PC con Windows mediante un método típico de reinicio en modo seguro para cifrar gradualmente los archivos del usuario.

Descubierto por primera vez por el equipo de respuesta a incidentes de Sophos Labs, afirmaron ser un «Un gran problema y un truco que también podrían adoptar rápidamente otros equipos de ransomware». Así que aquí vamos, explicando cómo se arrastra hasta los sistemas protegidos y los bloquea con sus cifrados para exigir un gran rescate.

Aunque el equipo ha estado activo desde mediados de 2018, era menos conocido en la industria debido a los insignificantes ataques hasta la fecha. Pero ahora se está lanzando al espacio del ransomware con una nueva fórmula. Este nuevo ransomware está dejando su huella al emplear una nueva técnica de entrada en las PC de las víctimas. ¡Está tratando de implementar su virus iniciando el sistema en modo seguro! Este método único tiene un propósito específico para hacer esto.

¿Por qué el modo de seguridad?

El modo seguro es una situación en la que el sistema, después de reiniciarse en este modo, permite que solo funcionen las aplicaciones necesarias. Este método le permite corregir cualquier problema de software depurando el sistema operativo dañado. Si bien este es el caso, reiniciar en modo seguro deshabilita las aplicaciones antivirus, lo que provoca la transmisión de virus o malware. Inteligente, ¿no es así? Sin embargo, este es un proceso difícil de atravesar. Vea cómo lo hacen;

¿Cómo lo hicieron?

Arrebatar ransomware
Arrebatar ransomware

Decide centrarse en grandes empresas o jugadores, en lugar de familias pequeñas, ya que ganar el premio mayor de una vez parece más rentable que numerosos pagos por minuto. Este estilo se llama Big Hunting en el espacio de la piratería. El equipo de Snatch literalmente compra su acceso a las empresas. La firma de seguridad Sophos dijo que rastreó muy pocos anuncios Snatch publicados en foros de piratas informáticos.

«Buscando socios afiliados con acceso a inyección RDP VNC TeamViewer WebShell SQL [SQL injection] en redes corporativas, tiendas y otras empresas. «

Esto revela que la tripulación se está asociando con personas exclusivas conectadas a empresas para implementar sus virus. Esto sucede cuando los jugadores (los que son contratados) dan acceso a Snatch, permitiendo que se abran las puertas del sistema. Después de eso, Snatch se reinicia para comenzar a cifrar y difundir archivos.

¿Algún efecto?

Robo de datos, como de costumbre. Como los datos recopilados por las empresas de sus usuarios son muy valiosos, Snatch los cifra y solicita un rescate para proporcionar la clave de reapertura. El equipo de Sophos alerta a todos y sugiere que los usuarios cifren sus puertos de Internet con contraseñas seguras y, si es posible, autenticación de dos factores.

Fuente: Blog de Sophos