Snatch ransomware amenaza la seguridad mediante el reinicio furtivo en “modo seguro”

El equipo de Managed Threat Response (MTR) de Sophos advirtió a la industria sobre un nuevo peligroso truco del ransomware: cifrar los datos solo después de reiniciar los PC con Windows en “modo seguro”.

Implementado recientemente por el ransomware “Snatch” desarrollado por los rusos, llamado así por la película de 2000 del mismo nombre, es efectivo contra gran parte del software de seguridad de endpoint, que a menudo no se carga cuando el modo seguro está en funcionamiento.

Todo ello a pesar del hecho de que en los ataques del mundo real analizados por MTR, Snatch comienza como muchas otras campañas de ransomware que actualmente apuntan a redes empresariales.

Los atacantes buscan puertos de Escritorio Remoto (RDP) débilmente protegidos para abrirse paso en los servidores de Azure, un punto de apoyo que usan para moverse lateralmente a los controladores de dominios de Windows, a menudo pasando semanas reuniendo información.

En un ataque de red, los atacantes instalaron el ransomware en alrededor de 200 máquinas usando el comando y el control (C2) después de utilizar una serie de herramientas legítimas (Process Hacker, IObit Uninstaller, PowerTool, PsExec, Advanced Port Scanner) más algunas suyas.

El mismo perfil de software se detectó en otros ataques en los EEUU, Canadá y varios países europeos, que también explotaron RDP expuestos.

Un truco, pero uno de los buenos

Pero Snatch todavía tiene el mismo problema que cualquier otro ransomware: cómo vencer la protección del software local.

Su enfoque es cargar un servicio de Windows llamado SuperBackupMan que no se puede detener o pausar, lo que agrega una clave de registro que garantiza que el destino se iniciará en modo seguro después de su próximo reinicio.

Solo después de que esto haya sucedido, y la máquina haya entrado en modo seguro, ejecuta una rutina que elimina las instantáneas de volumen de Windows, después de lo cual cifra todos los documentos que detecta en el destino.

Usar el modo seguro para evitar la seguridad tiene sus ventajas y desventajas. Lo bueno es que, en muchos casos, funciona: el software de seguridad que no espera esta técnica es fácilmente omitido.

Lo complicado es que aún debe ejecutar su falso servicio de Windows, que se basa en irrumpir controladores de dominio para distribuirlo a los objetivos dentro de la red.

Reiniciar en modo seguro tampoco superará el inicio de sesión de Windows, lo que en teoría le da a un usuario alertado la posibilidad de detener el cifrado.

Sin embargo, esto no ha impedido que tenga mucho éxito. Coveware, una compañía involucrada en la negociación de rescates de ransomware, le dijo a Sophos que había actuado para empresas en 12 incidentes entre julio y octubre, lo que implicó el pago de rescates en bitcoins entre $ 2.000 y $ 35.000.

Los ataques también a menudo implican la supervisión manual por parte de los delincuentes, como descubrió un investigador del MTR cuando su dirección IP se incluyó en una lista negra en tiempo real para evitar su análisis del comportamiento C2 de Snatch.

Qué hacer

Para los clientes de Sophos, la protección ya forma parte de las últimas versiones de protección endpoint, aunque es importante habilitar la función CryptoGuard dentro de Intercept X.

La seguridad de Sophos detecta los diferentes componentes de Snatch con las siguientes firmas:

• Troj / Snatch-H
• Mal / Generic-R
• Troj / Agente-BCYI
• Troj / Agente-BCYN
• HPmal / GoRnSm-A
• HPmal / RansMaz-A
• PUA detectado: “PsExec”

Inusualmente, el cifrado de Snatch usa OpenPGP, completo con claves públicas codificadas que SophosLabs ha publicado en su página de GitHub para que los defensores lo utilicen como Indicadores de Compromiso (IoC).

Defendiéndose contra Snatch

• RDP debe apagarse o asegurarse mediante una VPN con autenticación.
• VNC y TeamViewer es otro posible punto de entrada, y hay evidencias de que los atacantes pronto podrían comenzar a usar shells web o entrar por inyección SQL / SQL.
• Todas las cuentas de administrador deben estar protegidas con autenticación multifactor y buenas contraseñas.
• Los dispositivos desprotegidos son un objetivo que usan los atacantes para establecerse. La defensa contra esto es llevar a cabo auditorías regulares, incluso para detectar TI en la sombra.
• Los ataques de ransomware requieren tener una respuesta de “plan b” en su lugar, incluida la reinstalación de copias de seguridad y análisis forense / mitigación de las debilidades que permitieron que ocurriera un ataque.
• Las herramientas de protección de endpoint no son iguales: ¿detectará la suya Snatch o hará frente a su ataque en modo seguro? Es probable que esta técnica se vuelva más común durante 2020.