Bahaya ! Snatch Ransomware Bisa Melakukan Reboots Windows dalam Safe Mode Untuk Bypass Antivirus
Dec 10, 2019
Add Comment
Autodika.com - Peneliti cybersecurity telah menemukan varian baru dari Snatch ransomware yang pertama kali me-reboot komputer Windows yang terinfeksi ke Safe Mode dan hanya kemudian mengenkripsi file korban untuk menghindari deteksi antivirus.
Tidak seperti malware tradisional, ransomware Snatch baru memilih untuk dijalankan dalam Safe Mode karena dalam mode diagnostik sistem operasi Windows dimulai dengan sekumpulan driver dan layanan minimal tanpa memuat sebagian besar program startup pihak ketiga, termasuk perangkat lunak antivirus.
Snatch telah aktif setidaknya sejak musim panas 2018, tetapi para peneliti SophosLabs melihat peningkatan Safe Mode untuk jenis ransomware ini hanya dalam serangan cyber baru-baru ini terhadap berbagai entitas yang mereka selidiki.
"Para peneliti SophosLabs telah menyelidiki serangkaian serangan ransomware yang sedang berlangsung di mana ransomware dapat dieksekusi memaksa mesin Windows untuk reboot ke Safe Mode sebelum memulai proses enkripsi," kata para peneliti.
"Ransomware, yang menyebut dirinya Snatch, menetapkan dirinya sebagai layanan [disebut SuperBackupMan dengan bantuan registri Windows] yang akan dijalankan saat boot Safe Mode."
"Ketika komputer kembali setelah reboot, kali ini dalam Safe Mode, malware menggunakan komponen Windows net.exe untuk menghentikan layanan SuperBackupMan, dan kemudian menggunakan komponen Windows vssadmin.exe untuk menghapus semua Volume Shadow Copies di sistem, yang mencegah pemulihan forensik dari file yang dienkripsi oleh ransomware."
Apa yang membuat Snatch berbeda dan berbahaya dari yang lain adalah bahwa selain ransomware, ia juga pencuri data. Snatch termasuk modul pencuri data yang canggih, yang memungkinkan penyerang mencuri informasi dalam jumlah besar dari organisasi target.
Meskipun Snatch ditulis dalam Go, bahasa pemrograman yang dikenal untuk pengembangan aplikasi lintas-platform, penulis telah merancang ransomware ini untuk dijalankan hanya pada platform Windows.
"Snatch dapat dijalankan pada versi Windows yang paling umum, dari 7 hingga 10, dalam versi 32 dan 64-bit. Sampel yang kami lihat juga dikemas dengan pengemas sumber terbuka UPX untuk mengaburkan isinya," kata para peneliti.
Selain itu, para penyerang di balik Snatch ransomware juga menawarkan peluang kemitraan kepada penjahat cyber dan karyawan jahat yang memiliki kredensial dan pintu belakang ke dalam organisasi besar dan dapat memanfaatkannya untuk menyebarkan ransomware.
Seperti ditunjukkan dalam tangkapan layar yang diambil dari forum bawah tanah, salah satu anggota grup memposting penawaran "mencari mitra afiliasi dengan akses ke RDP \ VNC \ TeamViewer \ WebShell \ SQL injeksi di jaringan perusahaan, toko, dan perusahaan lain."
Menggunakan kredensial yang dipaksakan kasar atau dicuri, penyerang pertama-tama mendapatkan akses ke jaringan internal perusahaan dan kemudian menjalankan beberapa administrator sistem yang sah dan alat pengujian penetrasi untuk berkompromi dengan perangkat dalam jaringan yang sama tanpa menaikkan bendera merah apa pun.
"Kami juga menemukan serangkaian alat yang sah yang telah diadopsi oleh penjahat yang diinstal pada mesin dalam jaringan target, termasuk Process Hacker, IObit Uninstaller, PowerTool, dan PsExec. Para penyerang biasanya menggunakannya untuk mencoba menonaktifkan produk AV," kata peneliti.
Coveware, sebuah perusahaan yang berspesialisasi dalam negosiasi pemerasan antara penyerang dan korban ransomware, mengatakan kepada Sophos bahwa mereka bernegosiasi dengan penjahat Snatch "pada 12 kesempatan antara Juli dan Oktober 2019 atas nama klien mereka" dengan pembayaran tebusan berkisar antara $ 2.000 hingga $ 35.000 dalam bentuk bitcoin.
Untuk mencegah serangan ransomware, organisasi disarankan untuk tidak mengekspos layanan kritis mereka dan mengamankan port ke Internet publik, dan jika diperlukan, amankan mereka menggunakan kata sandi yang kuat dengan otentikasi multi-faktor.
0 Response to "Bahaya ! Snatch Ransomware Bisa Melakukan Reboots Windows dalam Safe Mode Untuk Bypass Antivirus"
Post a Comment