Шифровальщик Snatch применил оригинальный метод атаки – вредонос настраивает Windows на перезагрузку в безопасном режиме (Safe mode) и после этого запускает функционал по шифрованию пользовательских файлов на компьютере жертвы. Эксперты отмечают, что подобная тактика может стать очень эффективной и может быть взята "на вооружение" другими хакерскими группировками, так как большинство антивирусных решений не запускаются и, в принципе, не способны работать в "безопасном режиме" Windows.

Вирус-шифровальщик Snatch активен, как минимум с лета 2018 года, хотя особенно никогда не был "на слуху". Шифровальщик не атакует обычных пользователей и для распространения не использует массовые рассылки спама или наборы эскплоитов. Вместо этого, киберпреступники, управляющие шифровальщиком Snatch, тщательно выбирают цели, которыми чаще всего становятся крупные компании, общественные или правительственные организации.

Злоумышленники делают ставку не на множество мелких выкупов от рядовых пользователей, но сразу требуют от компаний и организаций огромные суммы. По похожей схеме работают и другие вымогатели, такие как Ryuk, SamSam, Matrix, BitPaymer и LockerGoga. Единственный публично известный случай атаки Snatch на сегодня - это заражение провайдера ASP.NET, компании SmarterASP.NET, обслуживающей более 440 000 клиентов.

По информации ИБ-экспертов, операторы Snatch зачастую покупают доступ к корпоративным сетям у других преступников в даркнете. Ранее исследователи обнаруживали рекламу, которую злоумышленники размещали на хакерских форумах. В этих объявлениях авторы вымогателя искали партнеров, которые могли обеспечить доступ к корпоративным сетям, магазинам и так далее посредством RDP, VNC, TeamViewer, WebShell, SQL-инъекций.

Проникнув в чужую сеть, операторы Snatch не сразу развивают атаку. Сначала несколько дней или недель киберпреступники наблюдают и изучают окружение жертвы, стараясь получить доступ к контроллеру домена, откуда малварь можно распространить на максимально возможное количество компьютеров. Для этого используются такие известные и легитимные инструменты, как Cobalt Strike, Advanced Port Scanner, Process Hacker, IObit Uninstaller, PowerTool и PsExec, которые не вызывают никаких подозрений у антивирусов.

Также, по информации специалистов Sophos, операторы Snatch занимаются не только шифрованием данных, но и похищают у своих жертв различную информацию. Иными словами, компании рискуют потерять свои данные даже в том случае, если они заплатили выкуп.

Для защиты информации эксперты рекомендуют в обязательном порядке делать резервное копирование важных данных, пользоваться антивирусами с актуальной базой и своевременно устанавливать обновления операционной системы.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бекапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бакапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от шифровальщика Snatch.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете киберпреступность и ее развитие!