Секретная тактика Snatch: почему безопасный режим Windows не такой уж безопасный?

ФБР и агентство CISA предупредили об угрозе , исходящей от вымогательского ПО «Snatch», известного еще с 2018 года. В последнее время его активность набирает обороты, поэтому организациям советуют быть начеку.

Действия группы не просто так вызывают тревогу у американских спецслужб. Она уже взяла на себя ответственность за ряд крупных атак. Среди них — инциденты с министерством обороны в Южной Африке, городом Модесто в Калифорнии, аэропортом Саскачевана в Канаде и лондонской фирмы Briars Group.

«Snatch» работает по принципу RaaS (вымогательское ПО как услуга), что делает его еще более опасным и доступным для широкого круга злоумышленников. Согласно оценкам экспертов, в основном он нацеливается на критически важные сектора: IT, оборонную промышленность США и агропромышленные комплексы.

В середине 2021 группа стала приобретать данные, украденные другими хакерами, чтобы затем вымогать деньги, угрожая их публикацией.

Интересны и методы атак «Snatch», которые делают его особенно опасным. ПО принуждает компьютеры на базе Windows перезапуститься в безопасном режиме, обходя таким образом антивирусные системы и шифруя файлы.

«Snatch» умело эксплуатирует уязвимости в протоколе удаленного рабочего стола (RDP), получая высокие привилегии доступа. После проникновения в сеть злоумышленники могут длительное время «путешествовать» по ней, выискивая и анализируя подходящие файлы для компрометации. В их арсенале — разнообразные инструменты, включая такие программы, как Metasploit и Cobalt Strike.

Североамериканский регион в последнее время стал основным объектом нападок. Ник Хайатт из Optiv подчеркивает, что их команда зафиксировала 70 инцидентов в этом регионе с июля 2022 по июнь 2023 года.