Wat u moet weten

Een ransomware die zichzelf Snatch noemt, stelt zichzelf in als een Windows-service die kan worden uitgevoerd in de veilige modus, een diagnostisch hulpmiddel dat wordt gebruikt voor het oplossen van software conflicten op Windows-computers. Helaas zijn de meeste eindpunt beveiligingstools ook uitgeschakeld wanneer de computer opstart in de veilige modus, zodat de ransomware computers kan beschadigen, onbelemmerd.

Het onderzoeksteam van Sophos heeft in het wild een nieuwe exploit ontdekt die een Windows-functie gebruikt om beveiligingssoftware die op een pc is geïnstalleerd te omzeilen.


De Snatch ransomware crasht uw computer en dwingt deze opnieuw op te starten in de veilige modus. In de veilige modus zijn antivirus en andere beveiligingssoftware normaal uitgeschakeld, waardoor de software, die automatisch als een service start, uw pc kan coderen en vervolgens een losgeld in bitcoin kan eisen.


Sophos heeft de exploit de laatste 3 maanden de laatste 3 maanden gezien en eiste Bitcoin-losgeld tussen de waarde van $ 2900 tot $ 51.000.

“Snatch kan worden uitgevoerd op de meest voorkomende versies van Windows, van 7 tot en met 10, in 32- en 64-bits versies,” aldus het nieuwsrapport. “De malware die we hebben waargenomen, kan niet op andere platforms dan Windows worden uitgevoerd. Snatch kan worden uitgevoerd op de meest voorkomende versies van Windows, van 7 tot 10, in 32- en 64-bits versies. “

De ransomware gebruikt geen specifieke kwetsbaarheid, maar eerder een toolkit van exploits om pc’s te infecteren. Sophos beveelt de volgende maatregelen aan om infecties te voorkomen en op te sporen:

Voorkomen

  • Omdat we organisaties nu al een tijdje aansporen om dit te doen, beveelt Sophos organisaties van elke omvang aan om de Remote Desktop-interface niet bloot te stellen aan onbeschermd internet. Organisaties die externe toegang tot machines willen toestaan, moeten deze achter een VPN op hun netwerk plaatsen, zodat ze niet kunnen worden bereikt door iemand die geen VPN-inloggegevens heeft.
  • De Snatch-aanvallers toonden ook interesse in het aangaan of inhuren van criminelen die in staat zijn netwerken te doorbreken met behulp van andere soorten externe toegang tools, zoals VNC en TeamViewer, evenals degenen met ervaring met het gebruik van web shells of inbraak bij SQL-servers met behulp van SQL injectie technieken. Het spreekt vanzelf dat dit soort internet gerichte diensten ook aanzienlijke risico’s met zich meebrengen als ze onbeheerd worden achtergelaten.
  • Evenzo moeten organisaties onmiddellijk multifactor-authenticatie implementeren voor gebruikers met beheerdersrechten, om het voor aanvallers moeilijker te maken om die account referenties bruut af te dwingen.
  • Voor klanten van Sophos is het absoluut noodzakelijk dat alle gebruikers de meest recente eindpuntbeveiliging gebruiken en de CryptoGuard-functie in Intercept X inschakelen.

Opsporing

  • De meeste initiële toegang en voetsteunen die we hebben waargenomen, bevinden zich op onbeschermde en niet-bewaakte apparaten. Het is voor organisaties van vrijwel elke omvang uiterst belangrijk om een ​​regelmatige en grondige inventaris van apparaten uit te voeren, om ervoor te zorgen dat er geen gaten of “donkere hoeken” op uw netwerk bestaan.
  • De uitvoering van de Snatch-ransomware vond plaats nadat bedreigingsactoren enkele dagen ongedetecteerde en ongeremde toegang tot het netwerk hadden. Een rigoureus en volwassen programma voor het zoeken naar bedreigingen zou een groter potentieel hebben om de bedreigingsactoren te identificeren voordat het uitvoerbare ransomware-programma wordt uitgevoerd.
  • Lees hier alle details over de nieuwe dreiging bij Sophos .

Pin It on Pinterest