Il nuovo ceppo ransomware sfrutta la modalità provvisoria di Windows per crittografare i file degli utenti
È stato scoperto un nuovo ceppo del ransomware Snatch che riavvia i computer che infetta in modalità provvisoria per bypassare le soluzioni di sicurezza.

Scoperto dai ricercatori sulla sicurezza del team Sophos Managed Threat Response e SophosLabs, il nuovo ceppo rende i dispositivi Windows infetti avviati in modalità provvisoria , consentendogli di crittografare i file delle vittime poiché la maggior parte degli strumenti di sicurezza viene automaticamente disabilitata.

Sebbene il ransomware Snatch sia stato scritto nel linguaggio di programmazione multipiattaforma di Google Go, i ricercatori hanno spiegato in un post sul blog che può essere eseguito solo su dispositivi Windows, dicendo:

“Il malware che abbiamo osservato non è in grado di funzionare su piattaforme diverse da Windows. Snatch può essere eseguito sulle versioni più comuni di Windows, da 7 a 10, nelle versioni a 32 e 64 bit. I campioni che abbiamo visto sono anche imballati con il packer open source UPX per offuscarne il contenuto. “

Il nuovo ransomware si diffonde tramite SMS

Il ransomware Snatch è stato rilasciato alla fine del 2018, ma è diventato per la prima volta notevolmente attivo nell’aprile di quest’anno a seguito di un picco di riscatto e campioni di file crittografati che sono stati inviati alla piattaforma ID Ransomware di Michael Gillepsie .

Snatch ransomware

Al fine di sfruttare il fatto che le soluzioni anti-malware non vengono caricate in modalità provvisoria. Il componente ransomware Snatch si installa come un servizio Windows chiamato SuperBackupMan. Il quale ha la capacità di funzionare in modalità provvisoria e inoltre non può essere arrestato o messo in pausa .

SuperBackupMan forza quindi il riavvio della macchina compromessa e una volta che si trova in modalità provvisoria. Il ransomware Snatch quindi elimina “tutte le copie shadow del volume sul sistema” secondo i ricercatori che impedisce “il recupero forense dei file crittografati dal ransomware”.

Ora che il recupero dei file senza pagamento è impossibile, il malware inizierà quindi a crittografare i file delle sue vittime.

Per evitare di cadere vittima del ransomware Snatch. Sophos raccomanda alle organizzazioni di non esporre i propri servizi di desktop remoto a Internet o di tentare di proteggerli utilizzando una VPN .

L’azienda suggerisce inoltre che le aziende utilizzano l’autenticazione a più fattori per proteggere gli account di amministratore dagli attacchi di forza bruta.