Sophos ha pubblicato un report investigativo dal titolo "
Snatch Ransomware Reboots PCs into Safe Mode to Bypass Protection" realizzato dai SophosLabs e Sophos Managed Threat Response. Il report illustra nel dettaglio i metodi di attacco in continua evoluzione adottati dal ransomware Snatch, rilevato per la prima volta nel dicembre 2018, tra i quali vi è il riavvio dei PC in Safe Mode per aggirare le protezioni basate sull'analisi comportamentale che intercettano le attività tipiche dei ransomware. Sophos ritiene che questa sia
una nuova tecnica di attacco adottata dai cybercriminali per evadere le difese.
Proseguendo lungo una tendenza evidenziata nel 2020 Threat Report di SophosLabs, i cybercriminali che usano Snatch esfiltrano dati prima che il ransomware inizi il suo attacco. Questa particolarità è comune ad altri gruppi di ransomware come
Bitpaymer.
Sophos prevede che questa tendenza del ransomware di sottrarre dati prima di avviare la cifratura crittografica sia destinata ad affermarsi sempre più. Qualora venissero colpite da Snatch, dunque,
le aziende tenute a rispettare il GDPR, il California Consumer Privacy Act e altre normative simili potrebbero essere obbligate a notificare la violazione alle autorità preposte. Snatch costituisce un esempio di attacco attivo automatico, una categoria di malware descritta nel
2020 Threat Report di SophosLabs. Una volta entrati nel sistema abusando dei servizi di accesso remoto, gli autori dell’attacco agiscono manualmente al fine di muoversi lateralmente e provocare danni.
Come spiegato nel report dedicato a Snatch, i cybercriminali entrano attraverso servizi di accesso remoto IT non protetti come (ma non solo) Remote Desktop Protocol (RDP). Il report porta degli esempi di come chi attacca utilizzando Snatch ricerchi
nei forum del Dark Web potenziali collaboratori abili nel compromettere i servizi di accesso remoto.