A Sophos legújabb riportja az előszőr 2018 decemberében észlelt Snatch zsarolóvírus új támadó módszereit részletezi. Ezek közé tartozik az is, hogy támadás közben csökkentett módban indítja újra a PC-ket, amivel megkerüli a zsarolóvírus tevékenységet észlelő védelmi eszközöket és titkosítja a fájlokat.
A Sophos szerint más digitális bűnözők is átvehetik ezt a megoldást zsarolóvírusok gyártásához.
A Sophos, kiberbiztonsági szakértő a napokban publikálta a „Snatch Zsarolóvírus Reboots PCs into Safe Mode to Bypass Protection” elemzését, magyarul “A Snatch zsarolóvírus csökkentett módban indítja újra a PC-ket, hogy megkerülje a védelmet”.
A Snatch legújabban módszere az, hogy csökkentett módon újraindítja a fertőzött gépeket, így megkerüli a végpontvédelmet, és észrevétlenül titkosítja a fájlokat.
A Snatch mögött álló digitális bűnözők el is lopják az adatokat, mielőtt a zsarolóvírus támadás megkezdődik. Ez más zsarolóvírus csoportoknál is megfigyelhető volt, például a Bitpaymernél is. A Sophos arra számít, hogy a zsarolóvírus támadás előtti adatlopás trendje folytatódik.
A Snatch jó példa az automatizált aktív támadásra, melyet szintén említ a SophosLabs 2020-as Threat Reportja. Miután a támadók a távoli hozzáférést biztosító szolgáltatások kijátszásával megszerzik a belépéshez szükséges adatokat, manuális hacking módszerekkel laterálisan mozognak és károkat okoznak. A Snatch jelentés elmagyarázza, hogy a támadók a nem biztonságos IT szolgáltatásokon, például a távoli hozzáférést nyújtó alkalmazásokon keresztül lépnek be a rendszerbe. Ilyen szolgáltatás például a Remote Desktop Protocol (távoli asztal, RDP) is, de nem csak azt használják. A jelentés arra is mutat példákat, hogy a Snatch támadói potenciális partnereket toboroznak a dark web fórumain, akik képesek távoli hozzáférést biztosító szolgáltatások feltörésére.
Védelmi tanácsok a Sophostól
A “Snatch” név úgy tűnik, hogy nem a véletlen műve. A zsarolóvírus korábbi verzióinak zsarolószövegében szereplő “imBoristheBlade@protonmail.com” email cím a 2000-es Guy Ritchie filmre, a Blöffre utal. (Melynek angol címe Snatch.) A film egyik karaktere egy Boris the Blade (Penge Borisz) névre hallgató, Raszputyin-szerű volt KGB-s ügynök, akit megvernek, lelőnek és le is szúrnak, ám ez nem gátolja abban, hogy folytassa a harcot.