Snatch ransomware využívá mezeru v nouzovém režimu k překonání obrany systému Windows
3 min. číst
Publikované dne
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Výzkumný tým Sophos identifikoval nový exploit ve volné přírodě, který využívá funkci Windows k obejití bezpečnostního softwaru nainstalovaného na PC.
Ransomware Snatch zhroutí váš počítač a přinutí jej restartovat se do nouzového režimu. V nouzovém režimu jsou antivirové programy a další bezpečnostní software obvykle zakázány, což softwaru, který se automaticky spouští jako služba, umožňuje zašifrovat váš počítač a poté požadovat výkupné v bitcoinech.
https://vimeo.com/378363798
Společnost Sophos za poslední 12 měsíce zažila zneužití při posledních 3 příležitostech a požadovala výkupné za bitcoiny v hodnotě od 2900 do 51,000 XNUMX USD.
"Snatch může běžet na většině běžných verzí Windows, od 7 do 10, ve 32bitových a 64bitových verzích," uvádí zpráva. „Malware, který jsme pozorovali, není schopen běžet na jiných platformách než Windows. Snatch lze spustit na většině běžných verzí Windows, od 7 do 10, ve 32bitových a 64bitových verzích.
Projekt Ransomware nepoužívá žádnou konkrétní zranitelnost, ale spíše sadu exploitů k infikování počítačů. Společnost Sophos doporučuje k prevenci a detekci infekce následující opatření:
Prevence
- Jak již nějakou dobu na organizace naléháme, Sophos doporučuje, aby se organizace jakékoli velikosti zdržely vystavování rozhraní vzdálené plochy nechráněnému internetu. Organizace, které chtějí povolit vzdálený přístup k počítačům, by je měly umístit za VPN ve své síti, takže je nemůže zastihnout nikdo, kdo nemá přihlašovací údaje VPN.
- Útočníci ze Snatch také vyjádřili zájem najmout nebo najmout zločince, kteří jsou schopni prolomit sítě pomocí jiných typů nástrojů pro vzdálený přístup, jako je VNC a TeamViewer, a také těch, kteří mají zkušenosti s používáním webových shellů nebo pronikáním na SQL servery pomocí Techniky SQL injection. Je logické, že tyto typy internetových služeb také představují značná rizika, pokud jsou ponechány bez dozoru.
- Podobně by organizace měly okamžitě implementovat vícefaktorovou autentizaci pro uživatele s administrátorskými právy, aby bylo pro útočníky obtížnější vynutit si tyto přihlašovací údaje k účtu.
- Pro zákazníky Sophos je nezbytné, aby všichni uživatelé používali nejaktuálnější ochranu koncových bodů a povolili funkci CryptoGuard v rámci Intercept X.
Zjištění
- Většina počátečního přístupu a opěrných bodů, které jsme pozorovali, je na nechráněných a nemonitorovaných zařízeních. Pro organizace téměř jakékoli velikosti je nesmírně důležité provádět pravidelnou a důkladnou inventarizaci zařízení, aby se zajistilo, že ve vaší síti nebudou žádné mezery nebo „tmavé kouty“.
- Ke spuštění ransomwaru Snatch došlo poté, co měli aktéři hrozby několik dní nedetekovaného a neomezeného přístupu k síti. Přísný a vyspělý program vyhledávání hrozeb by měl větší potenciál identifikovat aktéry hrozeb před spuštěním spustitelného souboru ransomwaru.
Přečtěte si všechny podrobnosti o nové hrozbě v Sophos zde.
přes Život Hacker