Ransomware Snatch

20 September, 2023

Compartir

El ransomware Snatch, que tuvo sus primeros ataques en 2019, ha evolucionado constantemente sus tácticas para aprovechar las tendencias actuales en el espacio cibercriminal y aprovechar los éxitos de las operaciones de otras variantes de ransomware. Snatch se ha dirigido a una amplia gama de sectores de infraestructura críticos, incluidos los sectores de defensa, alimentación, agricultura y tecnología de la información. Los actores de Snatch llevan a cabo operaciones de ransomware que implican exfiltración de datos y doble extorsión. Después de la exfiltración de datos que a menudo implica comunicaciones directas con las víctimas que exigen un rescate, Snatch puede amenazar a las víctimas con una doble extorsión, donde los datos de las víctimas se publicarán en el blog de extorsión de Snatch si el rescate no se paga. 

Se ha observado que compran datos previamente robados de otras variantes de ransomware en un intento de explotar aún más a las víctimas para que paguen un rescate y evitar que sus datos se divulguen en el blog de extorsión de Snatch. 

Los actores de Snatch emplean varios métodos diferentes para obtener acceso y mantener la persistencia en la red de una víctima. Dependen principalmente de explotar las debilidades del Protocolo de escritorio remoto (RDP) para forzar y obtener credenciales de administrador para las redes de las víctimas. En algunos casos, han buscado credenciales comprometidas en foros/mercados criminales.

Asimismo obtienen persistencia en la red de una víctima al comprometer una cuenta de administrador y establecer conexiones a través del puerto 443 a un servidor de comando y control (C2) ubicado en un servicio de hosting ruso bulletproof. Según el tráfico IP de los registros de eventos proporcionados por las víctimas recientes, Snatch inició conexiones RDP desde el mencionado servidor y a través de otros servicios de red privada virtual (VPN).

Se observó que usaban diferentes TTP para descubrir datos, moverse lateralmente y buscar datos para exfiltrar. Los actores de Snatch utilizan sc.exe para configurar, consultar, detener, iniciar, eliminar y agregar servicios del sistema mediante la línea de comandos de Windows. Además de sc.exe, también utilizan herramientas como Metasploit y Cobalt Strike.

Antes de implementar el ransomware, se observó que pasaban hasta tres meses en el sistema de la víctima. Dentro de este período de tiempo, explotaron la red, moviéndose lateralmente con RDP para la mayor implementación posible de ransomware y buscando archivos y carpetas para la filtración de datos, seguido del cifrado de archivos.

Durante las primeras etapas de la implementación del ransomware, Snatch intenta desactivar el software antivirus y ejecutar un archivo llamado safe.exe o alguna variación del mismo. En víctimas recientes, el nombre del ejecutable de ransomware consistía en una cadena de caracteres hexadecimales que coinciden con el hash SHA-256 del archivo en un esfuerzo por anular la detección basada en reglas. Al iniciarse, la carga útil de Snatch consulta y modifica las claves de registro, utiliza varias herramientas nativas de Windows para enumerar el sistema, encuentra procesos y crea procesos benignos para ejecutar archivos (. bat) por lotes de Windows. En algunos casos, el programa intenta eliminar todas las instantáneas de volumen de un sistema. Después de la ejecución de los archivos por lotes, el ejecutable los elimina del sistema de archivos de la víctima.

El ejecutable de Snatch añade una serie de caracteres hexadecimales a cada nombre de archivo y carpeta que cifra (único para cada infección) y deja un archivo de texto titulado HOW TO RESTORE YOUR FILES.TXT en cada carpeta. Los actores de Snatch se comunican con sus víctimas a través del correo electrónico y la plataforma de comunicación Tox basándose en identificadores dejados en notas de rescate o a través de su blog de extorsión. Como resultado, los datos de las víctimas se publican en el blog de ransomware que involucra diferentes variantes y en el blog de extorsión de Snatch.

Sugerimos tomar estas acciones para defenderse proactivamente contra ataques:

  • Reduzca la amenaza de actores maliciosos que utilizan herramientas de acceso remoto mediante estas acciones:

*Auditar herramientas de acceso remoto en su red para identificar el software actualmente utilizado y/o autorizado.

*Revisión de registros de ejecución de software de acceso remoto para detectar el uso anormal de programas que se ejecutan como ejecutable portátil.

*Usar software de seguridad para detectar instancias de software de acceso remoto que se cargan solo en la memoria.

*Exigir que las soluciones de acceso remoto autorizadas se utilicen únicamente desde dentro de su red a través de soluciones de acceso remoto aprobadas, como redes privadas virtuales (VPN) o interfaces de escritorio virtuales (VDI).

*Bloquear conexiones entrantes y salientes en puertos y protocolos de software de acceso remoto comunes en el perímetro de la red.

  • Implemente controles de aplicaciones para administrar y controlar la ejecución del software, incluida la lista de programas de acceso remoto permitidos.
  • Limite estrictamente el uso de RDP y otros servicios de escritorio remoto. Si es necesario RDP, aplicar rigurosamente las mejores prácticas, por ejemplo:

*Auditar la red para sistemas que utilicen RDP.

*Cerrar los puertos RDP no utilizados.

*Aplicar bloqueos de cuentas después de un número específico de intentos.

*Aplicar autenticación multifactor (MFA) resistente al phishing.

*Registrar los intentos de inicio de sesión de RDP.

  • Deshabilite las actividades y permisos de línea de comandos y secuencias de comandos.
  • Revisar controladores de dominio, servidores, estaciones de trabajo y directorios activos en busca de cuentas nuevas y/o no reconocidas.
  • Auditar cuentas de usuarios con privilegios administrativos y configurar controles de acceso según el principio de privilegio mínimo (PoLP).
  • Reduzca la amenaza de comprometer las credenciales mediante lo siguiente:

*Colocar cuentas de administrador de dominio en el grupo de usuarios protegidos para evitar el almacenamiento en caché de hashes de contraseñas localmente.

*Abstenerse de almacenar credenciales en texto sin formato en scripts.

*Implementar acceso basado en tiempo para cuentas configuradas en el nivel de administrador y superiores.

Además, aplicar las siguientes mitigaciones para limitar el posible uso adversario de técnicas comunes de descubrimiento de sistemas y redes, y para reducir el impacto y el riesgo de compromiso por parte de ransomware o actores de extorsión de datos:

  • Implementar un plan de recuperación para mantener y retener múltiples copias de servidores y datos confidenciales o propietarios en una ubicación físicamente separada, segmentada y segura (es decir, disco duro, dispositivo de almacenamiento, la nube).
  • Mantener copias de seguridad de datos fuera de línea y realizar copias de seguridad y restauración periódicamente (diaria o semanalmente como mínimo). 
  • Implementar una política de contraseñas seguras y exigir el cumplimiento de todos los usuarios:

* Utilizar contraseñas más largas que consten de al menos 8 caracteres y no más de 64 caracteres;

*Almacenar contraseñas en formato hash utilizando administradores de contraseñas reconocidos en la industria;

*Agregar la contraseña del usuario "sales" a las credenciales de inicio de sesión compartidas;

*Evite reutilizar contraseñas;

*Implementar múltiples bloqueos de cuentas en intentos fallidos de inicio de sesión;

*Deshabilitar las “sugerencias” de contraseña;

*Abstenerse de exigir cambios de contraseña más de una vez al año. Es más probable que los restablecimientos frecuentes de contraseñas resulten en que los usuarios desarrollen “patrones” de contraseñas que los ciberdelincuentes puedan descifrar fácilmente.

  • Requerir credenciales de administrador para instalar software.
  • Requerir autenticación multifactor (MFA) resistente al phishing para todos los servicios en la medida de lo posible, particularmente para el correo web, las redes privadas virtuales (VPN) y las cuentas que acceden a sistemas críticos.
  • Mantener todos los sistemas operativos, software y firmware actualizados. 
  • Segmentar redes para evitar la propagación de ransomware. La segmentación de la red puede ayudar al controlar los flujos de tráfico entre varias subredes y el acceso a ellas y al restringir el movimiento lateral del adversario.
  • Identificar, detectar e investigar actividades anormales y posibles ataques del ransomware indicado con una herramienta de monitoreo de redes. 
  • Instalar, actualizar periódicamente y habilitar la detección en tiempo real del software antivirus en todos los hosts.
  • Deshabilitar los puertos y protocolos no utilizados.
  • Considere agregar un banner a los correos electrónicos recibidos fuera de su organización.
  • Deshabilitar los hipervínculos en los correos electrónicos recibidos.
  • Asegurarse de que todos los datos de respaldo estén cifrados, sean inmutables y cubran toda la infraestructura de datos de la organización.

Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos.


Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-263a 
Imagen: https://pixabay.com/es/illustrations/ai-generado-centro-de-datos-8018881/ 

También te puede interesar