I ricercatori di Sophos Managed Threat Response (MTR) e i ricercatori di SophosLabs hanno studiato una serie in corso di attacchi ransomware che sfrutta la modalità provvisoria di Windows per crittografare i file degli utenti. Il team di sicurezza ha lavorato nel mese di ottobre per indagare e correggere un focolaio di ransomware all’interno della propria rete: il ransomware denominato “Snatch” riavvia rapidamente il computer in modalità provvisoria e nell’ambiente rarefatto, dove la maggior parte dei software di sicurezza non funziona, crittografare i dischi rigidi delle vittime.
Secondo i ricercatori il malware osservato può essere eseguito solo su dispositivi Windows: “Snatch può essere eseguito sulle versioni più comuni di Windows, da 7 a 10, nelle versioni a 32 e 64 bit”.
A differenza del malware tradizionale, il nuovo ransomware sceglie di essere eseguito in questa modalità poiché in modalità diagnostica il sistema operativo Windows si avvia con un set minimo di driver e servizi senza caricare la maggior parte dei programmi di avvio di terze parti, compreso il software antivirus.
Snatch è attivo già dall’estate del 2018 ma i ricercatori di Sophos hanno notato un aumento della modalità provvisoria per questa varietà di ransomware solo nei recenti attacchi informatici indagati.
In uno degli incidenti che ha colpito un’azienda internazionale, il team di MTR è riuscito a ottenere dalla società di destinazione i registri dettagliati che il ransomware non era stato in grado di crittografare.
“Gli attori delle minacce dietro questo malware (che si riferiscono a se stessi nelle bacheche criminali come Snatch Team) sembrano aver adottato il modello di attacco automatizzato attivo, in cui cercano di penetrare nelle reti aziendali attraverso attacchi brute-force automatizzati contro servizi vulnerabili ed esposti e quindi sfruttare quel punto d’appoggio per diffondersi internamente all’interno della rete dell’organizzazione mirata attraverso un’azione diretta dall’uomo. Abbiamo anche scoperto che il ransomware utilizza OpenPGP. I binari ransomware che abbiamo esaminato sembrano avere blocchi di chiave pubblica PGP codificati nei file. (Chiavi IoC per Snatch su SophosLabs Github.)”
E il nome Snatch non sembra essere una coincidenza. Nelle versioni precedenti del ransomware, la nota di riscatto includeva un indirizzo e-mail di “imBoristheBlade@protonmail.com” che sembra essere un riferimento al film di Guy Ritchie Snatch (2000)”, si legge nel post pubblicato dal team. https://news.sophos.com/en-us/2019/12/09/snatch-ransomware-reboots-pcs-into-safe-mode-to-bypass-protection/
