Sophos: ransomware Snatch bypassa antivirus riavviando Windows


Sophos, leader globale nella sicurezza degli endpoint e della rete, ha pubblicato un report investigativo dal titolo "Snatch Ransomware Reboots PCs into Safe Mode to Bypass Protection" realizzato dai SophosLabs e Sophos Managed Threat Response. Il report illustra nel dettaglio i metodi di attacco in continua evoluzione adottati dal ransomware Snatch, rilevato per la prima volta nel dicembre 2018, tra i quali vi è il riavvio dei PC in Safe Mode (modalità provvisoria) per aggirare le protezioni basate sull'analisi comportamentale che intercettano le attività tipiche dei ransomware. Sophos ritiene che questa sia una nuova tecnica di attacco adottata dai cybercriminali per evadere le difese.

Proseguendo lungo una tendenza evidenziata nel 2020 Threat Report di SophosLabs, i cybercriminali che usano Snatch esfiltrano dati (Data exfiltration) prima che il ransomware inizi il suo attacco. Questa particolarità è comune ad altri gruppi di ransomware come Bitpaymer. Sophos prevede che questa tendenza del ransomware di sottrarre dati prima di avviare la cifratura crittografica sia destinata ad affermarsi sempre più. Qualora venissero colpite da Snatch, dunque, le aziende tenute a rispettare il GDPR, il California Consumer Privacy Act (CCPA) e altre normative simili potrebbero essere obbligate a notificare la violazione alle autorità preposte. Snatch costituisce un esempio di attacco attivo automatico, una categoria di malware descritta nel 2020 Threat Report di SophosLabs.

Il report analizza in dettaglio le tecniche e le procedure usate da Snatch, che comprendono il riavvio dei PC in Safe Mode. Snatch costituisce un esempio di attacco attivo automatico, una categoria di malware descritta nel 2020 Threat Report di SophosLabs. Una volta entrati nel sistema abusando dei servizi di accesso remoto, gli autori dell'attacco agiscono manualmente al fine di muoversi lateralmente e provocare danni. Come spiegato nel report dedicato a Snatch, i cybercriminali entrano attraverso servizi di accesso remoto IT non protetti come (ma non solo) Remote Desktop Protocol (protocollo RDP). Il report porta degli esempi di come chi attacca utilizzando Snatch ricerchi nei forum del Dark Web (Rete oscura) potenziali collaboratori abili nel compromettere i servizi di accesso remoto.

Quella sotto è la schermata di una conversazione in lingua russa avvenuta in uno di questi forum, che recita: "Cercansi partner affiliati con accesso RDP\VNC\TeamViewer\WebShell\SQLinj a reti aziendali, negozi e altre aziende". Gli aggressori (che si definiscono "Snatch Team" in omaggio al film di Guy Ritchie del 2000) utilizzano attacchi automatizzati di forza bruta per infiltrarsi nelle reti aziendali prima di diffondersi lateralmente. In un incidente a ottobre, gli hacker hanno forzato la password dell'account amministratore su un server Microsoft Azure e sono riusciti ad accedere al server tramite RDP. Da lì, Snatch ha diffuso altri eseguibili, progettati per fornire agli aggressori l'accesso remoto senza fare affidamento sul server di Azure compromesso, su 200 macchine o circa il 5% dei PC sulla rete interna dell'azienda.

Snatch è stato visto in attacchi negli Stati Uniti, in Canada e in diversi paesi europei, hanno scoperto i ricercatori. In tutti i casi, la parte ransomware dell'attacco è arrivata diversi giorni o settimane dopo la violazione della rete iniziale. La maggior parte dei compromessi iniziali derivava da dispositivi non protetti e non monitorati, il che significa che una prima linea di difesa è l'applicazione di patch, una protezione avanzata della password e altre misure di base per l'igiene della sicurezza. Coveware, una società specializzata nelle trattative di estorsione tra vittime e aggressori di ransomware, ha dichiarato a Sophos di aver gestito privatamente i pagamenti di riscatto per le infezioni di Snatch ransomware in 12 occasioni tra luglio e ottobre 2019. I pagamenti (in bitcoin) hanno oscillato tra 2.000 e 35.000 dollari, ha detto Coveware.


Sebbene il crimine informatico e le fughe di dati siano realtà ben note, ciò che accade ai dati trapelati è molto meno compreso. A peggiorare le cose, alcune violazioni potrebbero passare inosservate da parte delle aziende o non segnalate. Ad ottobre l'FBI ha lanciato un avviso in merito all'aumento degli attacchi di ransomware in tutti i settori, inclusi l'assistenza sanitaria, i governi statali e locali e altri obiettivi infrastrutturali. I cybercriminali utilizzano una varietà di tecniche per infettare i sistemi delle vittime. Essi aggiornano e modificano le loro tecniche per rendere i loro attacchi più efficaci e per impedirne il rilevamento. Come difendersi: • Essere proattivi andando a caccia delle minacce: avvalersi di un team interno o esterno di esperti specializzati nella sicurezza per tenere costantemente sotto controllo le minacce;

• Implementare tecniche di machine learning/deep learning, mitigazione attiva e rilevamento comportamentale nella sicurezza degli endpoint; • Dove possibile, identificare e chiudere i servizi di accesso remoto aperti alla rete Internet pubblica; • Qualora l'accesso remoto fosse necessario, utilizzare una VPN (Virtual Private Network) con autenticazione multi-fattore, auditing delle password e controllo preciso sugli accessi oltre al monitoraggio attivo dell'accesso remoto (Remote Access Monitoring); • Qualsiasi server con accesso remoto aperto sulla rete Internet pubblica deve essere aggiornato con le patch più recenti e protetto da controlli preventivi (come software per la protezione degli endpoint), ed essere attivamente monitorato alla ricerca di login anomali e altri comportamenti non normali;

• Gli utenti collegati ai servizi di accesso remoto dovrebbero avere privilegi limitati per il resto della rete corporate; • Gli amministratori dovrebbero adottare tecniche di autenticazione multi-fattore e utilizzare un account amministrativo diverso dal loro normale account utente; • Monitorare attivamente le porte RDP aperte nello spazio IP pubblico. Per ulteriori informazioni e per dettagli tecnici approfonditi sul ransomware Snatch è possibile consultare SophosLabs Uncut. Altre schermate sono disponibili su richiesta. Ulteriori risorse: • Maggiori informazioni sullo scenario delle minacce e sulle tendenze destinate a impattare la cybersicurezza nel 2020 all'interno di SophosLabs Threat Report; • Maggiori informazioni sui ransomware più diffusi e persistenti nella guida How Ransomware Attacks;

• Una panoramica del ruolo centrale di Emotet nell'ecosistema malware con la nuova infografica Sophos; • Le ultime notizie e analisi sulla sicurezza sul sito Sophos Naked Security e su Sophos News; • Seguire Sophos su Twitter, LinkedIn, Facebook, Spiceworks e YouTube. Fino ad oggi, l'unico caso pubblico noto di infezione da Snatch ransomware era SmarterASP.NET, una società di web hosting che vantava circa 440.000 clienti. Poiché il team di Snatch è inoltre interessato a sperimentare iniezioni di VNC, TeamViewer o SQL, è necessario anche proteggere la rete di un'azienda per questi punti di attacco. Multinazionale leader nella sicurezza di ultima generazione, Sophos protegge più di 400.00 aziende di ogni dimensione in oltre 150 paesi dalle minacce informatiche più avanzate.

Sviluppate dai SophosLabs - team di ricerca globale - le soluzioni di sicurezza cloud-native e con AI integrata proteggono endpoint, server, device mobili e reti dalle minacce sempre più evolute, inclusi ransomware, malware, exploit, furto di dati, phishing e molto altro. Sophos Central,  piattaforma di gestione in cloud,  integra l'intero portafoglio di soluzioni Sophos incluso Intercept X e il firewall di ultima generazione XG in un unico sistema di sicurezza sincronizzata accessibile attraverso una serie di API. Sophos ha guidato la transizione verso una nuova era della sicurezza offrendo soluzioni che sfruttano appieno le potenzialità del machine learning, del cloud, delle API, dell'automazione e molto altro. L'innovativa tecnologia di Sophos è resa disponibile anche agli utenti domestici grazie a Sophos HomeVia: Sound PR



Nessun commento:

Posta un commento