Zpráva společnosti Sophos popisuje měnící se taktiku ransomwaru Snatch, včetně restartování počítačů do nouzového režimu
Praha, 11. prosince – Sophos (LSE: SOPH), celosvětový lídr v řešeních kybernetického zabezpečení nové generace, publikoval výzkumnou zprávu Ransomware Snatch restartuje počítače do nouzového režimu, aby obešel jejich ochranu, vytvořenou experty SophosLabs a Sophos Managed Threat Response. Tato zpráva detailně popisuje měnící se metody útoku ransomwaru Snatch, který byl poprvé zaznamenán v prosinci 2018, včetně útoku využívajícího restartování počítačů do nouzového režimu, kterým se pokouší obejít behaviorální ochranu, detekující aktivitu ransomwaru. Sophos je přesvědčený, že jde o novou techniku útoku, se kterou přišli kyberútočníci, aby překonali ochranu počítačů.
Přesně podle trendu zaznamenaného ve studii SophosLabs’ 2020 Threat Report se kyberzločinci stojící za ransomwarem Snatch nyní snaží získat data, než začne samotný útok ransomwaru. Stejný přístup dříve využily také ostatní ransomwarové skupiny jako třeba Bitpaymer. Sophos očekává, že tato sekvence exfiltrování dat před jejich zašifrování ransomwarem bude pokračovat. Pokud se firmy, které jsou povinné dodržovat GDPR, nadcházející California Consumer Privacy Act a ostatní předpisy či zákony na ochranu dat, stanou obětí ransomwaru Snatch, budou o tom možná muset informovat regulační orgány.
Snatch je příkladem automatizovaného aktivního útoku, který je popisován i ve studii SophosLabs’ 2020 Threat Report. Jakmile útočníci vniknou do sítě zneužitím služeb vzdáleného přístupu, využijí hackerské postupy k úhybným manévrům a napáchání škod. Zpráva o ransomwaru Snatch popisuje, že útočníci získávají přístup prostřednictvím nezabezpečených IT služeb vzdáleného přístupu, jako je (nejen) Remote Desktop Protocol (RDP). Zpráva ukazuje příklady, kdy útočníci využívající Snatch rekrutují na fórech dark webu potenciální spolupracovníky schopné kompromitovat služby vzdáleného přístupu. Níže je snímek konverzace v ruštině z fóra na dark webu, kde se uvádí: „Hledáme spolupracovníky s přístupem k RDP\VNC\TeamViewer\WebShell\SQLinj v korporátních sítích, obchodech a dalších společnostech.“
Doporučení pro obranu:
- Buďte proaktivní při pátrání po hrozbách: Využijte interní nebo externí expertní bezpečnostní tým pro nepřetržité monitorování hrozeb.
- Umožněte využití strojového či hloubkového učení, aktivního zmírnění útoků a behaviorální detekce k zabezpečení koncových bodů.
- Kde je to možné, identifikujte a vypněte služby vzdáleného přístupu vystavené do veřejného internetu.
- Pokud je vzdálený přístup nezbytný, použijte VPN s nejlepším ověřeným způsobem dvoufaktorové autentikace, auditováním hesel a precizní kontrolou přístupů společně s aktivním monitorováním vzdáleného přístupu.
- Všechny servery se vzdáleným přístupem otevřeným do veřejného internetu musí mít instalovány všechny bezpečnostní záplaty, musí být chráněny preventivními prostředky (jako je bezpečnostní software na ochranu koncových bodů) a aktivně monitorovány na anomálie při přihlašování a jiné abnormální chování.
- Uživatelé přihlášení ke službám vzdáleného přístupu by měli mít omezená oprávnění pro zbývající části podnikové sítě.
- Administrátoři by měli nasadit vícefaktorové ověřování a používat administrátorský účet oddělený od jejich běžného uživatelského účtu.
- Aktivně monitorujte otevřené RDP ve veřejném prostoru IP adres.
Další informace a technické detaily o ransomwaru Snatch najdete v článku SophosLabs Uncut.
Zajímavost: Ukazuje se, že název „Snatch“ nebyl zvolen náhodou. V dřívějších verzích ransomwaru obsahovalo oznámení požadavku na výkupné e-mailovou adresu „imBoristheBlade@protonmail.com“, která vypadá jako odkaz na film Guye Ritchieho Snatch z roku 2000, u nás uvedeného pod názvem Podfu(c)k. V něm je i postava bývalého agenta KGB připomínajícího Rasputina a pojmenovaného Boris the Blade, která je bita, střelena i pobodána často s malým až žádným efektem na jeho schopnost vstát a pokračovat v boji.
Na vyžádání vám poskytneme snímky obrazovek.
Dodatečné zdroje
- Vice informací o hrozbách a trendech, které by měly ovlivňovat kyberbezpečnost v roce 2020, naleznete ve zprávě Threat ReportSophosLabs.
- Více informací o převládajícím a nejodolnějším ransomwaru naleznete v článku Jak útočí ransomware, určeném pro bezpečnostní odborníky.
- Přehled o tom, jakou centrální roli v ekosystému malwaru hraje Emotet, získáte v nové infografice společnosti Sophos.
- Nejnovější analýzy a novinky z oblasti bezpečnosti na oceňovaném blogu Naked Security News a další nejnovější informace ze společnosti Sophos na Sophos News.
- Sledujte společnost Sophos prostřednictvím kanálů Twitter, LinkedIn, Facebook, Spiceworks, YouTube.
O společnosti Sophos
Jako celosvětový lídr v oblasti nové generace kybernetické bezpečnosti chrání Sophos více než 400 000 organizací všech velikostí ve více než 150 zemích před nejvyspělejšími kybernetickými hrozbami současnosti. S podporou globálního týmu pro zkoumání hrozeb a analýzu dat SophosLabs chrání řešení Sophos využívající cloud a umělou inteligenci jak koncové body (notebooky, servery a mobilní zařízení) tak i sítě před vyvíjejícími se technikami kybernetických útoků včetně ransomwaru, malwaru, exploitů, exfiltrování dat, narušení aktivními útočníky, phishingu atd. Cloudová platforma Sophos Central pro správu zabezpečení integruje celé portfolio nové generace produktů společnosti Sophos, včetně řešení pro koncové body Intercept X a nové generace firewallů XG, do jediného systému „synchronizovaného zabezpečení“ dostupného prostřednictvím sady API. Společnost Sophos provedla přechod k nové generaci kybernetického zabezpečení s využitím pokročilých možností cloudu, strojového učení, API, automatizace, řízené reakce na hrozby a dalších technologií, aby poskytovala nejlepší možnou úroveň ochrany organizacím všech velikostí. Sophos prodává své produkty a služby výhradně prostřednictvím globální sítě více než 53 000 partnerů a poskytovatelů řízených služeb. Prostřednictvím produktů Sophos Home zpřístupňuje Sophos své inovativní komerční technologie i koncovým zákazníkům. Sophos sídlí v britském Oxfordu a je veřejně obchodovatelnou společností na londýnské burze pod symbolem „SOPH“. Více informací naleznete na www.sophos.com.