▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...
Homepage > Notizia

Snatch: il ransomware che colpisce riavviando Windows in modalità provvisoria

Un report di Sophos analizza in dettaglio le tattiche, le tecniche e le procedure usate da Snatch, che comprendono il riavvio dei PC in Safe Mode.

Autore: Redazione BitCity

Pubblicato il: 13/12/2019

Sophos ha pubblicato un report investigativo dal titolo "Snatch Ransomware Reboots PCs into Safe Mode to Bypass Protection" realizzato dai SophosLabs e Sophos Managed Threat Response. Il report illustra nel dettaglio i metodi di attacco in continua evoluzione adottati dal ransomware Snatch, rilevato per la prima volta nel dicembre 2018, tra i quali vi è il riavvio dei PC in Safe Mode per aggirare le protezioni basate sull'analisi comportamentale che intercettano le attività tipiche dei ransomware. Sophos ritiene che questa sia una nuova tecnica di attacco adottata dai cybercriminali per evadere le difese. 
Proseguendo lungo una tendenza evidenziata nel 2020 Threat Report di SophosLabs, i cybercriminali che usano Snatch esfiltrano dati prima che il ransomware inizi il suo attacco. Questa particolarità è comune ad altri gruppi di ransomware come Bitpaymer.
Sophos prevede che questa tendenza del ransomware di sottrarre dati prima di avviare la cifratura crittografica sia destinata ad affermarsi sempre più. Qualora venissero colpite da Snatch, dunque, le aziende tenute a rispettare il GDPR, il California Consumer Privacy Act e altre normative simili potrebbero essere obbligate a notificare la violazione alle autorità preposte. Snatch costituisce un esempio di attacco attivo automatico, una categoria di malware descritta nel 2020 Threat Report di SophosLabs. Una volta entrati nel sistema abusando dei servizi di accesso remoto, gli autori dell’attacco agiscono manualmente al fine di muoversi lateralmente e provocare danni.
Come spiegato nel report dedicato a Snatch, i cybercriminali entrano attraverso servizi di accesso remoto IT non protetti come (ma non solo) Remote Desktop Protocol (RDP). Il report porta degli esempi di come chi attacca utilizzando Snatch ricerchi nei forum del Dark Web potenziali collaboratori abili nel compromettere i servizi di accesso remoto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di BitCity.it iscriviti alla nostra Newsletter gratuita.

Tag:

Notizie che potrebbero interessarti: