Global Preloader
Noticia Internacional
(12/Dec/2019) Investigadores descubren una nueva variedad de ransomware Snatch que reinicia las computadoras que infecta en modo seguro

Investigadores descubren una nueva variedad de ransomware Snatch que reinicia las computadoras que infecta en modo seguro

Cifrar los archivos de la víctima es posible porque la mayoría de las herramientas de seguridad se deshabilitan automáticamente cuando los dispositivos de Windows se inician en Modo a prueba de errores, como descubrieron el equipo de Respuesta a amenazas gestionadas de Sophos (MTR) y los investigadores de SophosLabs.

"Snatch puede ejecutarse en las versiones más comunes de Windows, de 7 a 10, en versiones de 32 y 64 bits", agregan. "Las muestras que hemos visto también están empaquetadas con el empacador de código abierto UPX para ofuscar sus contenidos".

Persistencia, robo de datos y entrega de carga útil

Los investigadores de Sophos observaron a un presunto miembro del equipo de ransomware Snatch mientras "buscaba socios afiliados con acceso a RDP \ VNC \ TeamViewer \ WebShell \ SQL inj [inyección SQL] en redes corporativas, tiendas y otras compañías".

Esto sugiere que el grupo o sus afiliados abusan de este tipo de agujeros de seguridad en los sistemas informáticos de las organizaciones, como lo demuestran los registros que los investigadores descubrieron en uno de los servidores encriptados de las víctimas que apuntan a los actores de la amenaza que fuerzan de forma bruta la cuenta de administrador de Microsoft Azure de un servidor y el registro a través de Escritorio remoto (RDP).

"Las búsquedas posteriores de archivos relacionados revelaron varios otros ataques en los que se utilizó precisamente la misma colección de herramientas en lo que parecen ser ataques oportunistas contra organizaciones ubicadas en todo el mundo, incluidos Estados Unidos, Canadá y varios países europeos", dice Sophos .

 

Ver más…