باج افزار Snatch سیستم های ویندوزی را ری استارت می کنند و به حالت Safe Mode می برند تا آنتی ویروس ها را دور بزنند

باج افزار Snatch سیستم های ویندوزی را ری استارت می کنند و به حالت Safe Mode می برند تا آنتی ویروس ها را دور بزنند

محققان یک باج افزار جدید را کشف کردند که سیستم هایی که الوده میکند را به سیف مود ریستارت میکند تا هرگونه راهکار امنیتی روی سیستم را غیرفعال کند و سریعا اقدام به رمزنگاری فایل های سیستم میکند.
رمزنگاری فایل های قربانی امکان پذیر است چرا که اکثر آنتی ویروس ها و ابزار های امنیتی در حالت سیف مود ویندوز غیرفعال هستند.
باج افزار snatch میتواند بر روی نسخه های مختلفی از ویندوز 7 تا 10 و ورژن های 32 و یا 64 بیتی اجرا شود.

باج افزار snatch اواخر سال 2018 رویت شد و در تاریخ آوریل 2019 به طرز قابل توجهی فعالیت زیادی داشت.

فعالیت باج افزار Snatch

 

پیوستگی، سرقت اطلاعات

یکی از اعضای تیم باج افزار snatch توسط یکی از محققان تیم سوفوس در حالی رویت شده است که به دنبال نقص های SQL injection RDP\VNC\TeamViewer\WebShell\SQL inj [SQL injection] در سازمان ها، شرکت ها و شبکه ها بودند.

به دنبال آن تلاش های دیگر برای فایل های مشابه حاکی از آن است که حملات مشابه بسیاری اتفاق افتاد که در آن از ابزار یکسان و مشابه همین آلودگی استفاده میشد. این اتفاق در مناطقی همچون آمریکا، کانادا و چند کشور اروپایی دیگر اتفاق افتاده است.

" تمامی این سازمان هایی که این فایل های مشابه در سیستم هایشان رویت شده است و آلوده به این باج افزار شدند مشخص شده که حداقل یک یا چند سیستم با دسترسی RDP به اینترنت داشته اند.

پس از نفوذ اولیه، مهاجمان به ماشین کنترل دامین  وارد میشوند و با دسترسی ادمین مشابه مشغول به استخراج و جمع آوری اطلاعات میشوند و در این حین شبکه ی قربانی را به مدت چند هفته رویت میکنند.

نصب یک سرویس برای استخراج اطلاعات دزدی

 

آنان همچنین نرم افزار های نظارتی را بر روی 5 درصد از تمامی ماشین های شبکه (200 سیستم) نصب کردند، که همچنین امکان دسترسی از راه دور را فراهم می آورد و باعث می شود پایداری در شبکه به خطر بیفتد تا حدی که اگر سرور Azure به خطر بیافتد ممکن است که از بین برود.

Sophos می افزاید: عوامل تهدید همچنین ابتکار به خرج دادند و جرایم خود را از راه مهم دیگری نیز انجام دادند: یک قسمت از بدافزار بکار رفته در حملات Snatch قادر به سرقت مقادیر زیادی از اطلاعات سازمان های هدف می باشد.

گروهی که در پشت این حملات قرار دارند، ابزارهایی که استفاده می کنند شامل Process Hacker، IObit Uninstaller، PowerTool و PsExes می باشد که به آنها در غیر فعال کردن ابزارهای امنیتی بر روی دستگاه های در معرض خطر کمک می کند.

بارگذاری اجزای باج افزار Snatch در شبکه ای که در معرض خطر قرار دارد به دنبال یک جدول زمانی به ظاهر تصادفی اتفاق می افتد، در بعضی موارد فقط چند روز طول می کشد در حالی که در برخی دیگر هفته ها طول می کشد.

پیغام باج خواهی باج افزار Snatch

 

غیرفعال کردن راه حل های ضد بدافزار و دستگاه های رمزگذاری

برای بهره گیری از راه حل های ضد بدافزار که در حالت Safe Mode بارگذاری نشده است، اجزای باج افزار Snatch خود را به عنوان یک سرویس ویندوز تحت عنوان SuperBackupMan با قابلیت اجرای در حالت Safe Mode که امکان توقف یا مکث وجود ندارد، نصب می کند و سپس سیستم در معرض خطر را ری استارت می کند.

پس از اینکه ویندوز وارد حالت Safe Mode می شود، باج افزار Snatch همانطور که محققان کشف کردند تمام Volume Shadow Copies ها را پاک می کنند و از ریکاور کردن اطلاعاتی که توسط باج افزار رمزنگاری شده اند جلوگیری می کند.

در مرحله بعد، بدافزار رمزنگاری فایل های قربانیان را آغاز می کند و مهاجمان مطمئن می شوند که بازیابی اطلاعات بدون پرداخت باج غیر ممکن است.

Coveware یک شرکت متخصص در واسطه مذاکرات باج افزار به Sophos گفت که آنها با تیم Snatch "در 12 نوبت بین ژانویه و اکتبر به نمایندگی از مشتریان خود مذاکره کردند" وآنها درخواست باج بین 2000 تا 35000 بیت کوین را داشتند که طی این چهار ماه بالاتر هم می رود.

برای جلوگیری از نقض و آلوده شدن به باج افزار Snatch به شرکت ها توصیه می شود که سرویس RDP را در اینترنت قرار ندهند و با استفاده از VPN این کار را انجام دهند.

از آنجا که گروهی که در پشت این باج افزار قرار دارد نیز به طور فعال در جستجوی شرکت های وابسته با دسترسی به نقاط پایانی VNC و TeamViewer و همچنین با تجربه در زمینه هک کردن سرورهای SQL و استفاده از پوسته های وب می باشند و قرار گرفتن در معرض این نوع سرویس ها نیز می تواند قربانیان بالقوه را در معرض حملات قرار دهد.

گذشته از این، Sophos به سازمانها توصیه می کند تا از چندین فاکتور احراز هویت استفاده کنند تا از اکانت administrator در مقابل حملات brute force جلوگیری کنند.

لیست گسترده ای از شاخص های سازش (IOC) از جمله نمونه هش های بدافزار، استخراج آدرس های سرور، دستورات استفاده شده در حملات و موارد دیگر در اینجا موجود است.

منبع: BleepingComputer.com