Pesquisadores de segurança dizem que se trata de um comportamento nunca visto
A equipe de pesquisadores de segurança do SophosLabs encontrou um novo ransomware chamado Snatch, que reinicia PCs com Windows no modo de segurança antes de iniciar a criptografia. Segundo os pesquisadores, esse é um comportamento nunca visto e a possível razão pela qual o Snatch reinicia os PCs no meio do ataque é evitar aplicativos antivírus instalados.
Os autores do Snatch sabem muito bem que a maioria dos aplicativos antivírus é ineficaz no modo de segurança do Windows, já que permite apenas que programas e serviços essenciais do sistema sejam executados durante a inicialização.
O ransomware usa uma chave de registro do Windows para agendar o processo de criptografia, o que impossibilita o antivírus pegá-lo ou interromper a criptografia.
Mas o aspecto mais perigoso do ataque é que o Snatch se configura como um serviço que será executado mesmo durante a reinicialização do modo de segurança e, em seguida, reinicia a caixa no modo de segurança. Isso neutraliza efetivamente a proteção ativa de muitas ferramentas de segurança.
O Snatch foi descoberto há um ano por pesquisadores de segurança e a nova técnica para evitar aplicativos antivírus reiniciando PCs no modo de segurança é um recurso adicionado recentemente.
O ransomware, em questão, possui um componente de ransomware, um ladrão de dados, um shell reverso do Cobalt Strike e muitas ferramentas — não essencialmente prejudiciais — que estão disponíveis ao público e são usadas por administradores e testadores de penetração.
A razão pela qual o Snatch não ganhou popularidade é que os autores por trás do ransomware ou da Equipe Snatch nunca pretenderam atingir usuários domésticos e usuários em geral. Eles miraram empresas e órgãos governamentais. Essa técnica é chamada de “caça ao grande jogo” no campo da segurança cibernética e os grupos que adotam isso geralmente desejam obter uma grande soma de dinheiro com resgates.
Em seu relatório, a Sophos menciona que as organizações devem usar senhas fortes e autenticação multifator para os serviços e portas expostas à internet.
