SNATCH Ransomware – Previniendo la infección

Panorama general

Este malware no es nuevo, fue descubierto aproximadamente el verano del 2018 gracias a la colaboración entre el equipo de Gestión de respuesta a incidentes (MTR por sus siglas en inglés) de la firma de seguridad Sophos y una organización especifica.

Este Malware tiene la posibilidad de evadir todas las soluciones de seguridad hasta el momento, ya que para comenzar su proceso de cifrado y evitar ser detectado inhibe las soluciones antimalware forzando al equipo a reiniciarse en modo seguro, al hacer esto, el sistema sólo carga los drivers mínimos para funcionamiento del equipo, evitando que aplicativos de terceros funcionen.

El Malware SNATCH no solo cifra información, adicional a esto tiene una colección de herramientas, que incluyen un componente de ransomware y un módulo de robo de datos, ambos aparentemente construidos por los delincuentes que operan el malware; permite generar una Shell inversa de Cobalt Strike; y varias herramientas disponibles públicamente que no son intrínsecamente maliciosas.

Este Malware sólo se ejecuta en Windows de 7 a 10, en versiones de 32 y 64 bits … hasta el momento.

 

 

Metodología de infección

Los atacantes se conocen en foros como “Equipo Snatch”, y su metodología de ataque es: comprometer la seguridad de las redes empresariales a través de fuerza bruta, misma que es aplicada en servicios vulnerables expuestos a internet para posteriormente realizar una propagación horizontal una vez comprometida la red de la organización, esto lo realizan a través del uso de la herramienta gratuita Advanced Port Scanner para descubrir máquinas adicionales en la red a las que podrían comprometer, así mismo como servicios aplicaciones como Process Hacker y PsExec.

Dentro de algunos de los servicios utilizados por los cibercriminales para comprometer las redes empresariales se encuentran, RDP, VNP, Teamviewer.

El ransomware se instala como un servicio de Windows llamado SuperBackupMan, que se configura inmediatamente antes de que la PC comience a reiniciarse, lo que le da a la organización poca o ninguna posibilidad de detener el servicio a tiempo.

Una vez que el equipo inicia en modo seguro, el malware comienza su proceso de cifrado.

 

Consejos de protección

RDP a internet

Se recomienda a las organizaciones se abstengan de exponer la interfaz de Escritorio remoto a Internet sin protección. Las organizaciones que necesitan permitir el acceso remoto a las máquinas deben ponerlos detrás de una VPN en su red, para que nadie pueda acceder a ellos sin credenciales de VPN.

Herramientas de acceso remoto.

Los cibercriminales adquirían los servicios de otros delincuentes capaces de comprometer las redes empresariales utilizando herramientas de acceso remoto como VNC y TeamViewer.

Cualquier herramienta de acceso remoto con conexión a Internet y otros programas vulnerables presentan riesgos si se dejan desatendidos, es necesario desinstalarlos en caso de que no sean necesarios para la operación de la organización o equipo.

Doble autenticación

La recomendación es simple, configurar la autenticación multifactor para los usuarios con privilegios administrativos para que sea más difícil para los atacantes forzar por fuerza bruta esas credenciales de cuenta.

Inventario de activos informáticos

La mayoría de los equipos que Sophos encontró en relación con Snatch eran dispositivos desprotegidos y no monitoreados. Las organizaciones deben realizar verificaciones de inventario periódicas y exhaustivas de todos los dispositivos para asegurarse de que no existan vacíos tecnologicos.

Herramientas para su uso

Es necesario contar con los equipos con las herramientas instaladas necesarias para realizar las actividades de los usuarios, y eliminar o bloquear la ejecución de aplicaciones como Process Hacker y PsExec.

 

Detección

La ejecución del ransomware Snatch se produjo después de que los autores de la amenaza permanecieron varios días en los sistemas sin ser detectados y sin restricciones a la red.

Contar con un equipo de prevención y respuesta a incidentes, así como un programa de búsqueda de amenazas riguroso y maduro tendría un mayor potencial para identificar a los actores de la amenaza antes de la ejecución del ejecutable del ransomware.

 

¿Te preocupa la seguridad de tu organización o tienes problemas con una infección? Contactános

Mail: cursos[at]iciberseguridad.io

 

11/12/2019
Instituto de Ciberseguridad. Todos los derechos reservados.
X
Ir a la barra de herramientas