סופוס חושפת גרסה חדשה של תוכנת הכופר Snatch

Sophos

סופוס, מובילה גלובלית באבטחת סייבר של הדור הבא, פרסמה באמצעות SophosLabs דוח מחקרי בשם "תוכנת הכופר Snatch מאתחלת מחשבים אישיים למצב בטוח כדי לעקוף הגנות". הדוח מפרט את השינוי שחל בשיטות ההתקפה של תוכנת הכופר Snatch, אשר נצפתה לראשונה בינואר 2018, כולל היכולת לאתחל מחשב למצב בטוח במהלך ההתקפה – זאת בניסיון לעקוף הגנות מבוססות התנהגות המסוגלות לזהות פעילות של תוכנות כופר. סופוס מאמינה כי טכניקת ההתקפה החדשה אומצה על ידי עברייני הסייבר לצורך התחמקות מהגנות.

בהמשך למגמה אשר צוינה בדוח האיומים של סופוס לשנת 2020, העבריינים מאחורי Snatch פועלים גם כדי לחלץ נתונים עוד לפני תחילת מתקפת הכופר. סוג כזה של התנהגות כבר נצפה אצל קבוצות אחרות של תוכנות כופר, כולל Bitpaymer. כתוצאה מהתנהגות זו, עסקים אשר צריכים לעמוד בתקן GDPR, בתקנת California Consumer Privacy Act (שתכנס לתוקף בקרוב) וברגולציה אחרת, עלולים להיות מחויבים לדווח לרשויות החוק במקרה שנפלו קורבן ל-Snatch.

Santch הוא דוגמא למתקפה פעילה אוטומטית, אשר מוזכרת גם היא בדוח האיומים לשנת 2020. ברגע שהתוקפים משיגים גישה לרשת באמצעות ניצול שירותים של גישה מרחוק, הם משתמשים בפריצת hand-to-keyboard כדי לבצע תנועה רוחבית בארגון וכדי לגרום נזק. כפי שמוסבר בדוח אודות Snatch, התוקפים משיגים גישה ראשונית באמצעות שירותי גישה מרחוק ל-IT שאינם מאובטחים, כגון Remote Desktop Protocol (RDP). הדוח גם מציג דוגמאות לכך שהתוקפים שמאחורי Snatch גייסו בפורומים של הרשת האפלה משתפי פעולה בעלי מיומנות בניצול שירותים שכאלה לגישה מרחוק.

בצילום המסך מוצגת שיחה שהתנהלה ברוסית בפורום ברשת האפלה, במסגרתה נכתב "מחפש שותף אפילייט עם גישה ל- RDP/VNC/TeamViewer\WebShell\SQLinj ברשתות ארגוניות, חנויות וחברות אחרות".