Snatch ransomware využívá mezeru v nouzovém režimu k překonání obrany systému Windows

Domů » Novinky

Ikona času čtení 3 min. číst

Ikona kalendáře Publikované dne

by Surur Davids 

publikováno dne

Sdílejte tento článek

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více

Chytit ransomware

Výzkumný tým Sophos identifikoval nový exploit ve volné přírodě, který využívá funkci Windows k obejití bezpečnostního softwaru nainstalovaného na PC.

Ransomware Snatch zhroutí váš počítač a přinutí jej restartovat se do nouzového režimu. V nouzovém režimu jsou antivirové programy a další bezpečnostní software obvykle zakázány, což softwaru, který se automaticky spouští jako služba, umožňuje zašifrovat váš počítač a poté požadovat výkupné v bitcoinech.

https://vimeo.com/378363798

Společnost Sophos za poslední 12 měsíce zažila zneužití při posledních 3 příležitostech a požadovala výkupné za bitcoiny v hodnotě od 2900 do 51,000 XNUMX USD.

"Snatch může běžet na většině běžných verzí Windows, od 7 do 10, ve 32bitových a 64bitových verzích," uvádí zpráva. „Malware, který jsme pozorovali, není schopen běžet na jiných platformách než Windows. Snatch lze spustit na většině běžných verzí Windows, od 7 do 10, ve 32bitových a 64bitových verzích.

Projekt Ransomware nepoužívá žádnou konkrétní zranitelnost, ale spíše sadu exploitů k infikování počítačů. Společnost Sophos doporučuje k prevenci a detekci infekce následující opatření:

Prevence

  • Jak již nějakou dobu na organizace naléháme, Sophos doporučuje, aby se organizace jakékoli velikosti zdržely vystavování rozhraní vzdálené plochy nechráněnému internetu. Organizace, které chtějí povolit vzdálený přístup k počítačům, by je měly umístit za VPN ve své síti, takže je nemůže zastihnout nikdo, kdo nemá přihlašovací údaje VPN.
  • Útočníci ze Snatch také vyjádřili zájem najmout nebo najmout zločince, kteří jsou schopni prolomit sítě pomocí jiných typů nástrojů pro vzdálený přístup, jako je VNC a TeamViewer, a také těch, kteří mají zkušenosti s používáním webových shellů nebo pronikáním na SQL servery pomocí Techniky SQL injection. Je logické, že tyto typy internetových služeb také představují značná rizika, pokud jsou ponechány bez dozoru.
  • Podobně by organizace měly okamžitě implementovat vícefaktorovou autentizaci pro uživatele s administrátorskými právy, aby bylo pro útočníky obtížnější vynutit si tyto přihlašovací údaje k účtu.
  • Pro zákazníky Sophos je nezbytné, aby všichni uživatelé používali nejaktuálnější ochranu koncových bodů a povolili funkci CryptoGuard v rámci Intercept X.

Zjištění

  • Většina počátečního přístupu a opěrných bodů, které jsme pozorovali, je na nechráněných a nemonitorovaných zařízeních. Pro organizace téměř jakékoli velikosti je nesmírně důležité provádět pravidelnou a důkladnou inventarizaci zařízení, aby se zajistilo, že ve vaší síti nebudou žádné mezery nebo „tmavé kouty“.
  • Ke spuštění ransomwaru Snatch došlo poté, co měli aktéři hrozby několik dní nedetekovaného a neomezeného přístupu k síti. Přísný a vyspělý program vyhledávání hrozeb by měl větší potenciál identifikovat aktéry hrozeb před spuštěním spustitelného souboru ransomwaru.

Přečtěte si všechny podrobnosti o nové hrozbě v Sophos zde.

přes Život Hacker

Více o tématech: Ransomware, zabezpečení, sophos, Windows 10

Surur Davids

Surur Davids Štít

Expert na chytré telefony

Surur Davids je zakladatelem WMPoweruser, který se později stal MSPoweruser.com. Je to odborník na chytré telefony s více než desetiletými zkušenostmi.