MB Tech

Ransomware Snatch

20 September, 2023

Compartir

El ransomware Snatch, que tuvo sus primeros ataques en 2019, ha evolucionado constantemente sus tácticas para aprovechar las tendencias actuales en el espacio cibercriminal y aprovechar los éxitos de las operaciones de otras variantes de ransomware. Snatch se ha dirigido a una amplia gama de sectores de infraestructura críticos, incluidos los sectores de defensa, alimentación, agricultura y tecnología de la información. Los actores de Snatch llevan a cabo operaciones de ransomware que implican exfiltración de datos y doble extorsión. Después de la exfiltración de datos que a menudo implica comunicaciones directas con las víctimas que exigen un rescate, Snatch puede amenazar a las víctimas con una doble extorsión, donde los datos de las víctimas se publicarán en el blog de extorsión de Snatch si el rescate no se paga. 

Se ha observado que compran datos previamente robados de otras variantes de ransomware en un intento de explotar aún más a las víctimas para que paguen un rescate y evitar que sus datos se divulguen en el blog de extorsión de Snatch. 

Los actores de Snatch emplean varios métodos diferentes para obtener acceso y mantener la persistencia en la red de una víctima. Dependen principalmente de explotar las debilidades del Protocolo de escritorio remoto (RDP) para forzar y obtener credenciales de administrador para las redes de las víctimas. En algunos casos, han buscado credenciales comprometidas en foros/mercados criminales.

Asimismo obtienen persistencia en la red de una víctima al comprometer una cuenta de administrador y establecer conexiones a través del puerto 443 a un servidor de comando y control (C2) ubicado en un servicio de hosting ruso bulletproof. Según el tráfico IP de los registros de eventos proporcionados por las víctimas recientes, Snatch inició conexiones RDP desde el mencionado servidor y a través de otros servicios de red privada virtual (VPN).

Se observó que usaban diferentes TTP para descubrir datos, moverse lateralmente y buscar datos para exfiltrar. Los actores de Snatch utilizan sc.exe para configurar, consultar, detener, iniciar, eliminar y agregar servicios del sistema mediante la línea de comandos de Windows. Además de sc.exe, también utilizan herramientas como Metasploit y Cobalt Strike.

Antes de implementar el ransomware, se observó que pasaban hasta tres meses en el sistema de la víctima. Dentro de este período de tiempo, explotaron la red, moviéndose lateralmente con RDP para la mayor implementación posible de ransomware y buscando archivos y carpetas para la filtración de datos, seguido del cifrado de archivos.

Durante las primeras etapas de la implementación del ransomware, Snatch intenta desactivar el software antivirus y ejecutar un archivo llamado safe.exe o alguna variación del mismo. En víctimas recientes, el nombre del ejecutable de ransomware consistía en una cadena de caracteres hexadecimales que coinciden con el hash SHA-256 del archivo en un esfuerzo por anular la detección basada en reglas. Al iniciarse, la carga útil de Snatch consulta y modifica las claves de registro, utiliza varias herramientas nativas de Windows para enumerar el sistema, encuentra procesos y crea procesos benignos para ejecutar archivos (. bat) por lotes de Windows. En algunos casos, el programa intenta eliminar todas las instantáneas de volumen de un sistema. Después de la ejecución de los archivos por lotes, el ejecutable los elimina del sistema de archivos de la víctima.

El ejecutable de Snatch añade una serie de caracteres hexadecimales a cada nombre de archivo y carpeta que cifra (único para cada infección) y deja un archivo de texto titulado HOW TO RESTORE YOUR FILES.TXT en cada carpeta. Los actores de Snatch se comunican con sus víctimas a través del correo electrónico y la plataforma de comunicación Tox basándose en identificadores dejados en notas de rescate o a través de su blog de extorsión. Como resultado, los datos de las víctimas se publican en el blog de ransomware que involucra diferentes variantes y en el blog de extorsión de Snatch.

Sugerimos tomar estas acciones para defenderse proactivamente contra ataques:

  • Reduzca la amenaza de actores maliciosos que utilizan herramientas de acceso remoto mediante estas acciones:

*Auditar herramientas de acceso remoto en su red para identificar el software actualmente utilizado y/o autorizado.

*Revisión de registros de ejecución de software de acceso remoto para detectar el uso anormal de programas que se ejecutan como ejecutable portátil.

*Usar software de seguridad para detectar instancias de software de acceso remoto que se cargan solo en la memoria.

*Exigir que las soluciones de acceso remoto autorizadas se utilicen únicamente desde dentro de su red a través de soluciones de acceso remoto aprobadas, como redes privadas virtuales (VPN) o interfaces de escritorio virtuales (VDI).

*Bloquear conexiones entrantes y salientes en puertos y protocolos de software de acceso remoto comunes en el perímetro de la red.

  • Implemente controles de aplicaciones para administrar y controlar la ejecución del software, incluida la lista de programas de acceso remoto permitidos.
  • Limite estrictamente el uso de RDP y otros servicios de escritorio remoto. Si es necesario RDP, aplicar rigurosamente las mejores prácticas, por ejemplo:

*Auditar la red para sistemas que utilicen RDP.

*Cerrar los puertos RDP no utilizados.

*Aplicar bloqueos de cuentas después de un número específico de intentos.

*Aplicar autenticación multifactor (MFA) resistente al phishing.

*Registrar los intentos de inicio de sesión de RDP.

  • Deshabilite las actividades y permisos de línea de comandos y secuencias de comandos.
  • Revisar controladores de dominio, servidores, estaciones de trabajo y directorios activos en busca de cuentas nuevas y/o no reconocidas.
  • Auditar cuentas de usuarios con privilegios administrativos y configurar controles de acceso según el principio de privilegio mínimo (PoLP).
  • Reduzca la amenaza de comprometer las credenciales mediante lo siguiente:

*Colocar cuentas de administrador de dominio en el grupo de usuarios protegidos para evitar el almacenamiento en caché de hashes de contraseñas localmente.

*Abstenerse de almacenar credenciales en texto sin formato en scripts.

*Implementar acceso basado en tiempo para cuentas configuradas en el nivel de administrador y superiores.

Además, aplicar las siguientes mitigaciones para limitar el posible uso adversario de técnicas comunes de descubrimiento de sistemas y redes, y para reducir el impacto y el riesgo de compromiso por parte de ransomware o actores de extorsión de datos:

  • Implementar un plan de recuperación para mantener y retener múltiples copias de servidores y datos confidenciales o propietarios en una ubicación físicamente separada, segmentada y segura (es decir, disco duro, dispositivo de almacenamiento, la nube).
  • Mantener copias de seguridad de datos fuera de línea y realizar copias de seguridad y restauración periódicamente (diaria o semanalmente como mínimo). 
  • Implementar una política de contraseñas seguras y exigir el cumplimiento de todos los usuarios:

* Utilizar contraseñas más largas que consten de al menos 8 caracteres y no más de 64 caracteres;

*Almacenar contraseñas en formato hash utilizando administradores de contraseñas reconocidos en la industria;

*Agregar la contraseña del usuario "sales" a las credenciales de inicio de sesión compartidas;

*Evite reutilizar contraseñas;

*Implementar múltiples bloqueos de cuentas en intentos fallidos de inicio de sesión;

*Deshabilitar las “sugerencias” de contraseña;

*Abstenerse de exigir cambios de contraseña más de una vez al año. Es más probable que los restablecimientos frecuentes de contraseñas resulten en que los usuarios desarrollen “patrones” de contraseñas que los ciberdelincuentes puedan descifrar fácilmente.

  • Requerir credenciales de administrador para instalar software.
  • Requerir autenticación multifactor (MFA) resistente al phishing para todos los servicios en la medida de lo posible, particularmente para el correo web, las redes privadas virtuales (VPN) y las cuentas que acceden a sistemas críticos.
  • Mantener todos los sistemas operativos, software y firmware actualizados. 
  • Segmentar redes para evitar la propagación de ransomware. La segmentación de la red puede ayudar al controlar los flujos de tráfico entre varias subredes y el acceso a ellas y al restringir el movimiento lateral del adversario.
  • Identificar, detectar e investigar actividades anormales y posibles ataques del ransomware indicado con una herramienta de monitoreo de redes. 
  • Instalar, actualizar periódicamente y habilitar la detección en tiempo real del software antivirus en todos los hosts.
  • Deshabilitar los puertos y protocolos no utilizados.
  • Considere agregar un banner a los correos electrónicos recibidos fuera de su organización.
  • Deshabilitar los hipervínculos en los correos electrónicos recibidos.
  • Asegurarse de que todos los datos de respaldo estén cifrados, sean inmutables y cubran toda la infraestructura de datos de la organización.

Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos.


Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-263a 
Imagen: https://pixabay.com/es/illustrations/ai-generado-centro-de-datos-8018881/ 

También te puede interesar

Medidas de ciberseguridad para implementar el teletrabajo

30 December, 2021

Las organizaciones, tras afrontar los retos, amenazas y, en algunos casos, ataques que la época de crisis por el Covid-19 ha traído consigo en lo que se refiere a ciberseguridad, se encuentran en el camino hacia la llamada nueva normalidad. El escenario de trabajo en remoto y el levantamiento de infraestructuras no habituales que muchas compañías se han visto obligadas a implementar para dar respuesta a esta circunstancia, han producido, en muchos casos, ha mostrado la vulnerabilidad de sus sistemas ante los ciberdesafíos de la pandemia. Ante esta situación excepcional, las compañías, ahora más

Leer publicación

¿Qué es el Cifrado de Datos y cómo beneficia a tu empresa?

30 December, 2021

El cifrado o encriptación de datos en las empresas evita fugas de información y mitiga el coste de su impacto. Es una de las mejores soluciones de seguridad para proteger la información sensible, pero debes saber qué documentos cifrar y cómo implantarlo de forma efectiva. ¿Cómo funciona el cifrado de datos?Cuando se comparte información o datos mediante Internet, atraviesan una serie de dispositivos de red en todo el mundo que forman parte de la Internet pública. A medida que los datos viajan por la Internet pública, existe una posibilidad de que hackers la comprometan o roben. Para evitar esto

Leer publicación

¿Cómo proteger a tu empresa de un ataque DDOS?

30 December, 2021

Los ataques de Denegación Distribuida de Servicios (DDoS, por sus siglas en inglés) se presentan como flujos inusuales de tráfico dentro de un sitio web que hacen que este colapse, para entonces volverse vulnerables y ser atacados por los cibercriminales. ¿Cómo protegerse de un ataque DDoS?Saber diferenciar entre tráfico normal y anormal. Lo mas recomendable es cerciorarse constantemente de las direcciones IP de donde proviene este tráfico, y los canales que usa para llegar a nuestros servidores, si vemos que es de procedencia dudosa, lo mejor es bloquear esas IP para evitar que continúen con l

Leer publicación