Onderzoekers hebben een ransomware-exemplaar ontdekt dat antivirussoftware probeert te omzeilen door Windowscomputers in de veilige modus te starten. In de veilige modus is de meeste beveiligingssoftware namelijk niet actief, waardoor de ransomware ongehinderd bestanden op de computer kan versleutelen. Snatch, zoals de ransomware door antivirusbedrijf Sophos wordt genoemd, maakt voor zichzelf een service aan die in de veilige modus wordt geladen.
Vervolgens wordt de computer van het slachtoffer in de veilige modus herstart en de ransomware geladen. De criminelen achter de Snatch-ransomware zoeken naar kwetsbare, toegankelijke services. Het gaat dan bijvoorbeeld om systemen die via het Remote Desktopprotocol (RDP), TeamViewer en VNC toegankelijk zijn. Sophos is bekend met een incident waarbij de aanvallers via een bruteforce-aanval het beheerdersaccount van een Microsoft Azure-server wisten te achterhalen. Vervolgens werd er via RDP op de server ingelogd.
Vanaf de Azure-server gebruikten de aanvallers het beheerdersaccount om op een domeincontrollermachine op hetzelfde netwerk in te loggen. Gedurende een aantal weken werd het netwerk van het slachtoffer verkend, waarna geprobeerd werd de ransomware te installeren. Het Amerikaanse securitybedrijf Coveware, dat voor bedrijven met cybercriminelen onderhandelt over het losgeld en ontsleutelen van bestanden, heeft tussen juli en oktober voor twaalf klanten met de criminelen achter de Snatch-ransomware onderhandeld.
Om infecties door de ransomware te voorkomen adviseert Sophos om RDP-toegang niet voor heel het internet toegankelijk te maken. Organisaties die remote toegang willen bieden moeten dit via een VPN doen. Verder wordt het gebruikt van multifactorauthenticatie voor gebruikers met beheerdersrechten aangeraden. Tevens doen organisaties er verstandig aan om al hun machines te monitoren. De meeste infecties en aanvallen vonden plaats via onbeschermde en niet gemonitorde systemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.