Le ransomware Snatch contourne les solutions de sécurité

Des chercheurs en sécurité informatique ont découvert une nouvelle variante du ransomware Snatch. Cette nouvelle variante force les PC infectés à redémarrer en mode sans-échec et chiffre ensuite les fichiers de la victime pour éviter d’être détecté par l’antivirus.

Différent des malwares traditionnels, le nouveau ransomware Snatch choisi de s’exécuter en mode sans-échec parce qu’en mode diagnostique le système d’exploitation Windows démarre avec un nombre minimal de pilotes et de services sans lancer la plupart des programmes de démarrage de parti tiers, y compris le logiciel antivirus.

Snatch est actif depuis l’été 2018 mais les chercheurs de SophosLabs ont découvert cette amélioration avec le mode sans échec dans de récentes cyberattaques.

“Les chercheurs de SophosLabs enquête sur sur une série d’attaques de ransomware dans lesquelles le ransomware force la machine Windows à redémarrer en mode sans échec avant de commencer le processus de chiffrement,” ont déclaré les chercheurs.

“Le ransomware, qui se nomme Snatch, se fait passé pour un service [nommé SuperBackUpMan avec l’aide du registre de Windows] qui s’exécutera durant le démarrage en mode sans échec.”

“Quand l’ordinateur est de nouveau actif après le redémarrage en mode sans-échec, le malware utilise le composant net.exe de Windows pour stopper le service SuperBackUpMan. Il utilise ensuite le composant vssadmin.exe pour supprimer toutes les Volume Shadow Copies sur le système, ce qui empêche la récupération des fichiers chiffrés par le ransomware.”

Ce qui rend Snatch différent et dangereux par rapport aux autres est qu’en plus d’être un ransomware, c’est aussi un voleur de données. Snatch contient un module de vol de données sophistiquées, permettant aux hackers de voler un nombre important d’informations sur les organisations ciblées.

Bien que Snatch soit programmé en Go, un langage de programmation pour le développement d’applications multi-plateformes, les auteurs ont conçu ce ransomware pour qu’il s’exécute seulement sur Windows.

“Snatch peut s’exécuter sur la plupart des versions récentes de Windows, de 7 à 10, en versions 32-bit et 64-bit. Les échantillons que nous avons vu contiennent aussi l’emballeur UPX pour offusquer leurs contenus,” ont expliqué les chercheurs.

En plus de cela, les hackers responsables de la création de Snatch offrent des opportunités de partenariat à d’autres cybercriminels et à des employés malveillants qui possèdent des identifiants et des portes dérobées dans de larges organisations qui peuvent être exploité pour déployer le ransmware.

Comme montré dans la capture d’écran prise sur un forum du marché noir, l’un des membres du groupe a posté une offre stipulant qu’il cherche des partenaires affiliés ayant un accès à RDP\VNC\TeamViewer\WebShell dans le réseau d’une entreprise.

snatch

En utilisant une technique de force brute ou des identifiants et des mots de passe dérobés, les hackers obtiennent d’abord l’accès au réseau interne de la compagnie. Ils lancent ensuite des outils d’administration et de tests de pénétration pour compromettre les appareils du même réseau sans se faire repérer.

“Nous avons trouvé plusieurs outils de cybercriminels installés sur les machines du réseau ciblé, y compris Process Hacker, IObit Uninstaller, PowerTool et Psexec. Les hackers les utilisent pour essayer de désactiver les produits Antivirus.” selon les chercheurs.

Coveware, une compagnie spécialisée dans les négociations d’extorsions entre les hackers et les victimes de ransomware, a révélé à Sophos qu’ils ont négocié avec les criminels derrière Snatch à 12 reprises entre Juillet et Octobre 2019. Les rançons se situent entre 2000 et 35 000 dollars (1800 et 31 500 euros) en bitcoins.

Comment se protéger du ransomware Snatch?

Pour empêcher les attaques de ransomware, il est recommandé aux organisations de ne pas exposer leurs services critiques, de sécuriser leurs ports et d’utiliser les mots de passe fort avec une authentification à plusieurs facteurs.

Si cet article vous a plu, jetez un œil à notre article précédent.