Snatch勒索软件的作者正在使用一种前所未有的技巧来绕过防病毒软件并加密受害者的文件而不会被发现。
诀窍在于将受感染的计算机重新启动到安全模式,然后从那里运行勒索软件的文件加密过程。
这样做的原因是,大多数防病毒软件都无法在Windows安全模式下启动,Windows安全模式是一种Windows状态,用于调试和恢复损坏的操作系统。
然而,Snatch团队的人发现他们可以使用Windows注册表项来安排Windows服务在安全模式下启动。此服务将在安全模式下运行勒索软件,而不会有被防病毒软件检测到并停止其加密过程的风险。
但是,攻击最危险的方面是:Snatch将自己设置为即使在安全模式下重新启动时仍将运行的服务,然后将设备重新启动到安全模式。这有效地抑制了许多端点安全工具的主动保护。Devious! and evil.。pic.twitter.com/lqCxhxwg4y
-Andrew Brandt(@threatresearch)2019年12月9日
Sophos Labs的事件响应小组发现了“安全模式”技巧,该小组在过去几周被要求调查勒索软件感染。它的研究团队表示,这很重要,而且其他勒索软件人员也可以迅速采用这种技巧。
“ SophosLabs认为,以安全模式运行的勒索软件所带来的风险的严重性不能高估,我们需要发布此信息,以警告其他安全行业以及最终用户,” Andrew Brandt Sophos的恶意软件研究者和网络取证者在今天发布的一份报告中说到。
Snatch,另一种大型狩猎的猎人
Sophos的研究人员说,这是Snatch乘员组的最新技巧,但不是第一次。这个特定的勒索软件帮派自2018年夏季以来一直在运行,但到目前为止,很少有人听说过这种病毒。
发生这种情况的原因是,Snatch的工作人员从未针对家庭用户,也从未使用过大规模分发方法,例如电子邮件垃圾邮件活动或基于浏览器的漏洞利用工具包-这两个分发渠道通常会引起网络安全公司的广泛关注。
取而代之的是,抢夺人员只在经过精心挑选的一小部分目标(例如公司,公共或政府组织)之后才去。
这种类型的目标和方法在网络安全领域被称为“大型猎物”,并且是当今多个勒索软件工作人员广泛采用的一种策略。
大型狩猎活动的思想是,恶意软件作者可以从大型用户和政府组织那里索取数十万倍的勒索赎金,而无需追随恶意软件作者可以从家庭用户那里收取的小额赎金。 。
Ryuk,SamSam,Matrix,BitPaymer和LockerGoga等勒索软件是您典型的大型游戏猎人。
Snatch团队在黑客论坛上招募黑客
上面列出的所有勒索软件帮派都有自己的方法来破坏各自目标的网络,Snatch也是如此。
根据Sophos的说法,该集团通过购买途径进入了公司的网络。研究人员说,他们追踪了Snatch团队在黑客论坛上发布的广告,这些广告旨在招募其计划的合作伙伴。
根据广告的翻译,Snatch团队“正在寻找可在公司网络,商店和其他公司中访问RDP \ VNC \ TeamViewer \ WebShell \ SQL inj [SQL注入]的关联伙伴。”

Sophos团队表示,Snatch团队将购买对被黑客入侵的网络的访问权,或者与另一位黑客合作以破坏所需的公司。
进入后,他们很少马上就安装勒索软件并立即加密文件。相反,Snatch团队在一家被黑的公司中徘徊了几天甚至几周。
黑客会花时间,并逐渐将对内部域控制器的访问权限升级,并从这些访问权限传播到内部网络中尽可能多的计算机。
为此,Snatch团队使用合法的sysadmin工具和渗透测试工具包来完成工作,这些工具包括Cobalt Strike,Advanced Port Scanner,Process Hacker,IObit卸载程序,PowerTool和PsExec。由于这些是常用工具,因此大多数防病毒产品都无法发出任何警报。
一旦Snatch帮派获得了所需的所有访问权限,他们就会添加注册表项和Windows服务,以在所有受感染的主机上以安全模式启动Snatch,并强制重新启动所有工作站-重新启动以开始文件加密过程。
窃取客户数据
此外,Sophos说,与大多数勒索软件团伙主要致力于加密文件和索要勒索软件不同,他们还发现Snatch团队也参与了数据盗窃活动。
这使Snatch团队变得独特且极具危险性,因为公司也将因日后在网上出售或泄露数据而丢失,即使他们支付了赎金费用并解密了文件也是如此。
这种类型的行为非常不寻常,很可能会将Snatch推到当今最危险的勒索软件毒株列表的首位。
但是,合并公司的内部网络以窃取文件需要时间,这也是Snatch造成的受害者数量不及其他“大猎杀”病毒/帮派数量相同的原因。抢夺受害者的人数很少。
Coverware是一家专门从事勒索软件受害者和攻击者之间勒索谈判的公司,对Sophos表示,他们已在2019年7月至2019年10月之间私下处理了Snatch勒索软件感染的赎金付款。付款范围从2,000美元到35,000美元不等。
直到今天,唯一已知的Snatch勒索软件感染公共案例是SmarterASP.NET,这是一个网络托管公司,拥有约440,000个客户。
Sophos建议公司使用强密码或多因素身份验证来保护在Internet上公开的端口和服务。
由于Snatch团队也有兴趣尝试VNC,TeamViewer或SQL注入,因此必须保护这些攻击点的公司网络。
*编译整理:Domino
*参考来源:ZDNET