一款勒索软件在隐藏一年多后初次进入人们的视野。
而且它不止是勒索这么简单。
它还是一款网络盗窃工具。
Snatch勒索软件
Snatch从2018年的夏季开始一直活跃至今,但至今没有什么人听说过这种勒索软件,足以证明隐蔽性是它的一大特点。
研究人员调查近期针对各种实体的网络攻击中发现了这种勒索软件的增强变种,这种变种的隐藏术更加高超。
Snatch勒索软件的制作者正在使用一种前所未有的技巧来绕过防病毒软件的检测,最终成功将受害者的计算机加密。
这种全新的攻击方式是什么呢?
其诀窍就在于将受感染的计算机重新启动到安全模式,然后进行文件加密。
至于为什么要选择在安全模式下,主要原因在于大多数防病毒软件都无法在Windows安全模式下启动。
安全模式是Windows操作系统的一种特殊模式,在安全模式下用户可以轻松地修复系统的一些错误,起到事半功倍的效果。
安全模式的工作原理是在不加载第三方设备驱动程序的情况下启动电脑,使电脑运行在系统最小模式,这样用户就可以方便地检测与修复计算机系统的错误。
谁也没有想到这种安全措施有一天也会成为不安全的因素。
攻击者使用合法的渗透测试工具包来获取所需权限,并成功利用Windows注册表使计算机开启安全模式,紧接着运行Snatch勒索软件,便不会被防病毒软件检测到,并且不会停止其加密过程,在此期间将不会有任何警报。
这一新攻击模式的发现表明,可能有其他勒索软件也注意到了并正在采用这一技巧,因此目前其风险难以估计。
独特性
除了隐蔽性之外,Snatch鲜为人知的另一个原因是它在攻击对象的选择上与一般的勒索软件有所不同。
通常情况下,勒索软件会利用电子垃圾邮件和浏览器漏洞大规模地散播,感染较大范围的计算机,最终获取大批赎金。
而Snatch的方法则与众不同,一开始攻击者便不会选择这种容易引起网络安全公司关注的大规模分发的方法,也从未针对个人用户。
取而代之的是,攻击者会精心挑选一小部分目标,例如公司、公共机构和政府组织,选取了这些“大型猎物”之后,就可以从这些受害者中勒索远超个人用户几十万倍的赎金。
此外,研究人员还发现这种勒索软件的独特之处,在于它不仅会加密受感染计算机的文件,同时也参与了数据盗窃活动。
这又是怎么回事呢?
Snatch勒索软件包含一个复杂的数据窃取模块,攻击者可以从目标对象的网络中窃取大量信息。此前一些公司在花费巨额赎金解密文件之后,公司的数据在网上泄露并出售。
此前,一家网络托管公司SmarterASP.NET感染Snatch,而且客户群高达44万。
图片来源:ZDNet
对此,研究人员建议使用强密码或者双因素身份验证来保护在互联网上公开的端口和服务。
* 本文由看雪编辑 LYA 编译自 Threat Post,转载请注明来源及作者。
* 原文链接:
https://threatpost.com/snatch-team-infiltrates-steals-data-ransomware/150974/