美国政府发出 Snatch 勒索软件警告
2023-9-22 13:51:31 Author: hackernews.cc(查看原文) 阅读量:10 收藏

9月21日,美国当局发布了一份新的网络安全公告,介绍了Snatch勒索软件即服务(RaaS)组织使用的最新战术、技术和程序(TTPs)。

网络安全和基础设施安全局(CISA)和联邦调查局解释说,虽然Snatch于2018年首次出现,但自2021年以来一直在学习借鉴其他勒索软件的技术,现已发展“壮大”。

该勒索软件采用了经典的双重勒索“玩法”,如果受害者不付钱,就会将其详细信息发布到泄密网站上。

据观察,Snatch 威胁行为者会先从其他勒索软件中购买窃取的数据,试图进一步利用受害者支付赎金,以避免他们的数据被发布在 Snatch 的勒索博客上。

该组织通常会尝试暴力破解 RDP 端点或使用其在暗网上购买的凭证进行初始访问,俄通过入侵管理员账户以及 443 端口与罗斯防弹托管服务托管的命令控制服务器建立连接,从而获得持久性。

此外,公告中还提到,附属机构使用 Metasploit 和 Cobalt Strike 等工具进行横向移动和数据发现,有时会在受害者网络内花费长达三个月的时间。

他们还经常会尝试通过一种非常特殊的方式来禁用杀毒软件。

该报告解释说,Snatch攻击者使用一种定制的勒索软件变体,可以将设备重新启动到安全模式,使勒索软件能够绕过反病毒或端点保护的检测,然后在很少有服务运行时对文件进行加密。

受害组织来自多个关键基础设施领域,包括国防工业基地(DIB)、食品和农业以及科技领域。

CardinalOps 首席执行官 Michael Mumcuoglu 表示,在过去的 12 至 18 个月时间里,Snatch 勒索软件组织的活动有所增加。此前他们声称会对最近几起备受瞩目的攻击事件负责,其中包括涉及南非国防部、加利福尼亚州莫德斯托市、加拿大萨斯喀彻温省机场、总部位于伦敦的组织 Briars Group 和其他组织的攻击事件。

Optiv 公司的网络业务负责人Nick Hyatt提到,近几个月来,该组织的 TTP 并没有太大变化。在2022年7月至2023年6月期间,该公司跟踪了Snatch在所有垂直领域发动的70次攻击,这些攻击绝大多数集中在北美地区。


转自Freebuf,原文链接:https://www.freebuf.com/news/378862.html

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/45813
如有侵权请联系:admin#unsafe.sh