一款勒索軟體在隱藏一年多後初次進入人們的視野。
而且它不止是勒索這麼簡單。
它還是一款網路盜竊工具。
Snatch勒索軟體
Snatch從2018年的夏季開始一直活躍至今,但至今沒有什麼人聽說過這種勒索軟體,足以證明隱蔽性是它的一大特點。
研究人員調查近期針對各種實體的網路攻擊中發現了這種勒索軟體的增強變種,這種變種的隱藏術更加高超。
Snatch勒索軟體的製作者正在使用一種前所未有的技巧來繞過防病毒軟體的檢測,最終成功將受害者的計算機加密。
這種全新的攻擊方式是什麼呢?
其訣竅就在於將受感染的計算機重新啟動到安全模式,然後進行檔案加密。
至於為什麼要選擇在安全模式下,主要原因在於大多數防病毒軟體都無法在Windows安全模式下啟動。
安全模式是Windows作業系統的一種特殊模式,在安全模式下使用者可以輕鬆地修復系統的一些錯誤,起到事半功倍的效果。
安全模式的工作原理是在不載入第三方裝置驅動程式的情況下啟動電腦,使電腦執行在系統最小模式,這樣使用者就可以方便地檢測與修復計算機系統的錯誤。
誰也沒有想到這種安全措施有一天也會成為不安全的因素。
攻擊者使用合法的滲透測試工具包來獲取所需許可權,併成功利用Windows登錄檔使計算機開啟安全模式,緊接著執行Snatch勒索軟體,便不會被防病毒軟體檢測到,並且不會停止其加密過程,在此期間將不會有任何警報。
這一新攻擊模式的發現表明,可能有其他勒索軟體也注意到了並正在採用這一技巧,因此目前其風險難以估計。
獨特性
除了隱蔽性之外,Snatch鮮為人知的另一個原因是它在攻擊物件的選擇上與一般的勒索軟體有所不同。
通常情況下,勒索軟體會利用電子垃圾郵件和瀏覽器漏洞大規模地散播,感染較大範圍的計算機,最終獲取大批贖金。
而Snatch的方法則與眾不同,一開始攻擊者便不會選擇這種容易引起網路安全公司關注的大規模分發的方法,也從未針對個人使用者。
取而代之的是,攻擊者會精心挑選一小部分目標,例如公司、公共機構和政府組織,選取了這些“大型獵物”之後,就可以從這些受害者中勒索遠超個人使用者幾十萬倍的贖金。
此外,研究人員還發現這種勒索軟體的獨特之處,在於它不僅會加密受感染計算機的檔案,同時也參與了資料盜竊活動。
這又是怎麼回事呢?
Snatch勒索軟體包含一個複雜的資料竊取模組,攻擊者可以從目標物件的網路中竊取大量資訊。此前一些公司在花費鉅額贖金解密檔案之後,公司的資料在網上洩露並出售。
此前,一家網路託管公司SmarterASP.NET感染Snatch,而且客戶群高達44萬。
圖片來源:ZDNet
對此,研究人員建議使用強密碼或者雙因素身份驗證來保護在網際網路上公開的埠和服務。
* 本文由看雪編輯 LYA 編譯自 Threat Post,轉載請註明來源及作者。
* 原文連結:
https://threatpost.com/snatch-team-infiltrates-steals-data-ransomware/150974/