Le rançongiciel Snatch utilise la faille du mode sans échec pour battre les défenses de Windows

L'équipe de recherche de Sophos a identifié un nouvel exploit dans la nature qui utilise une fonctionnalité Windows pour contourner les logiciels de sécurité installés sur un PC.

Le rançongiciel Snatch plante votre ordinateur et le force à redémarrer en mode sans échec. En mode sans échec, les antivirus et autres logiciels de sécurité sont normalement désactivés, ce qui permet au logiciel, qui démarre automatiquement en tant que service, de crypter votre PC, puis d'exiger une rançon en bitcoins.

https://vimeo.com/378363798

Sophos a vu l'exploit à au moins 12 reprises au cours des 3 derniers mois, exigeant des rançons Bitcoin entre 2900 $ et 51,000 XNUMX $.

"Snatch peut fonctionner sur la plupart des versions courantes de Windows, de 7 à 10, dans les versions 32 et 64 bits", indique le rapport de presse. « Le logiciel malveillant que nous avons observé n'est pas capable de s'exécuter sur des plates-formes autres que Windows. Snatch peut fonctionner sur la plupart des versions courantes de Windows, de 7 à 10, en versions 32 et 64 bits.

La ransomware n'utilise aucune vulnérabilité spécifique, mais plutôt une boîte à outils d'exploits pour infecter les PC. Sophos recommande les mesures suivantes pour prévenir et détecter les infections :

Prévention

• Comme nous exhortons les organisations à le faire depuis un certain temps maintenant, Sophos recommande aux organisations de toute taille de s'abstenir d'exposer l'interface Remote Desktop à Internet non protégé. Les organisations qui souhaitent autoriser l'accès à distance aux machines doivent les placer derrière un VPN sur leur réseau, afin qu'elles ne soient pas accessibles par quiconque ne dispose pas d'informations d'identification VPN.
• Les attaquants de Snatch ont également exprimé leur intérêt à contracter ou à embaucher des criminels capables de pénétrer dans les réseaux à l'aide d'autres types d'outils d'accès à distance, tels que VNC et TeamViewer, ainsi que ceux ayant une expérience de l'utilisation de shells Web ou de la pénétration de serveurs SQL à l'aide de Techniques d'injection SQL. Il va de soi que ces types de services Internet présentent également des risques importants s'ils sont laissés sans surveillance.
• De même, les organisations doivent immédiatement mettre en œuvre l'authentification multifacteur pour les utilisateurs disposant de privilèges administratifs, afin de rendre plus difficile pour les attaquants de forcer brutalement ces informations d'identification de compte.
• Pour les clients Sophos, il est impératif que tous les utilisateurs exécutent la protection des terminaux la plus récente et activent la fonctionnalité CryptoGuard dans Intercept X.

Détection

• La majorité des accès initiaux et des prises de pied que nous avons observés se font sur des appareils non protégés et non surveillés. Il est extrêmement important pour les organisations de presque toutes les tailles d'effectuer un inventaire régulier et approfondi des appareils, afin de s'assurer qu'il n'y a pas de lacunes ou de «coins sombres» sur votre réseau.
• L'exécution du rançongiciel Snatch s'est produite après que les acteurs de la menace aient eu plusieurs jours d'accès non détecté et non inhibé au réseau. Un programme de chasse aux menaces rigoureux et mature aurait un plus grand potentiel pour identifier les acteurs de la menace avant l'exécution de l'exécutable du ransomware.

Lisez tous les détails sur la nouvelle menace chez Sophos ici.

via Pirate de la vie