.
A equipe do ransomware Snatch listou em seu site dark o Departamento de Assuntos de Veteranos da Flórida como uma de suas últimas vítimas – enquanto os federais alertam as organizações para estarem atentas a indicadores de comprometimento ligados à gangue extorsionista.
Para ser claro: não podemos verificar se os malfeitores realmente roubaram quaisquer dados dos veteranos, pois alegar. Strong The One perguntou o departamento e ainda não recebeu a confirmação de uma infecção. Atualizaremos esta história se tivermos resposta do estado dos EUA.
Snatch é uma operação de ransomware como serviço, e suas afiliadas comprometeram uma série de setores críticos de infraestrutura, incluindo empresas de base industrial de defesa, alimentos e agricultura, e empresas de TI.
No mês passado, extorsionários afiliados à tripulação dados vazados supostamente roubado no início do ano de Modesto durante um ataque de ransomware contra aquela cidade da Califórnia.
Roubo de dados e táticas de dupla extorsão são comuns entre os afiliados da Snatch, fomos informados.
“Após a exfiltração de dados, muitas vezes envolvendo comunicações diretas com as vítimas exigindo resgate, os agentes da ameaça do Snatch podem ameaçar as vítimas com extorsão dupla, onde os dados das vítimas serão publicados no blog de extorsão do Snatch se o resgate não for pago”, de acordo com um relatório conjunto. consultivo emitido pelo FBI e pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) na quarta-feira.
O alerta também inclui uma lista de indicadores de comprometimento obtidos através de investigações do FBI entre setembro de 2022 e junho de 2023, por isso sugerimos prestar muita atenção a essa seção do relatório.
De acordo com a assessoria, os afiliados do Snatch utilizam diversos métodos para obter acesso e manter persistência nas redes das vítimas. Mas seu principal método de invasão envolve o abuso de implantações de Remote Desktop Protocol (RDP) para comprometer os sistemas Windows, forçando a entrada e obtendo credenciais de administrador para bisbilhotar as redes das organizações.
Em alguns casos, esses criminosos compraram credenciais RDP roubadas ou vazadas em mercados clandestinos e usaram esses detalhes de login para entrar furtivamente, disseram-nos.
Também é importante notar que o FBI e a CISA emitiram em maio um aviso conjunto semelhante sobre limitar o uso de RDP para diminuir o risco de uma infecção pelo ransomware BianLian.
De acordo com o novo aviso do FBI-CISA:
Depois de estabelecerem presença na rede, os malfeitores usam várias táticas para se mover lateralmente e encontrar e roubar dados, disseram as agências governamentais. Isso inclui o uso de scripts de linha de comando e ferramentas de software como Metasploit e Cobalt Strike.
O FBI observou afiliados do Snatch gastando até três meses nas redes das vítimas antes de implantar o ransomware. Os criminosos também tentam desativar o software antivírus e executar um executável chamado “safe.exe” durante os estágios iniciais da implantação do ransomware.
“Nas vítimas recentes, o nome do executável do ransomware consistia em uma sequência de caracteres hexadecimais que correspondiam ao hash SHA-256 do arquivo, em um esforço para derrotar a detecção baseada em regras”, observou o comunicado de segurança cibernética.
A própria carga do ransomware usa ferramentas nativas do Windows para executar arquivos em lote e às vezes tenta remover todas as cópias de sombra do sistema. Depois de criptografar os dados, ele deixa um arquivo de texto intitulado “como restaurar seus arquivos” em cada pasta.
Os afiliados do Snatch também se comunicam com as vítimas por e-mail, pela plataforma de mensagens Tox e pelo site de vazamento da dark web da tripulação. Algumas vítimas também relataram ter recebido uma ligação falsa de uma mulher que disse ser afiliada ao Snatch e direcionar as organizações comprometidas ao site de extorsão.
Os federais também sugerem maneiras de minimizar o risco com base na atividade da Snatch e, talvez sem surpresa, o monitoramento do uso de ferramentas de acesso remoto pela sua organização está no topo da lista. ®
.
