23.09.2023 | Секретная тактика Snatch: почему безопасный режим Windows не такой уж безопасный? |
ФБР и агентство CISA предупредили об угрозе , исходящей от вымогательского ПО «Snatch», известного еще с 2018 года. В последнее время его активность набирает обороты, поэтому организациям советуют быть начеку. Действия группы не просто так вызывают тревогу у американских спецслужб. Она уже взяла на себя ответственность за ряд крупных атак. Среди них — инциденты с министерством обороны в Южной Африке, городом Модесто в Калифорнии, аэропортом Саскачевана в Канаде и лондонской фирмы Briars Group. «Snatch» работает по принципу RaaS (вымогательское ПО как услуга), что делает его еще более опасным и доступным для широкого круга злоумышленников. Согласно оценкам экспертов, в основном он нацеливается на критически важные сектора: IT, оборонную промышленность США и агропромышленные комплексы. В середине 2021 группа стала приобретать данные, украденные другими хакерами, чтобы затем вымогать деньги, угрожая их публикацией. Интересны и методы атак «Snatch», которые делают его особенно опасным. ПО принуждает компьютеры на базе Windows перезапуститься в безопасном режиме, обходя таким образом антивирусные системы и шифруя файлы. «Snatch» умело эксплуатирует уязвимости в протоколе удаленного рабочего стола (RDP), получая высокие привилегии доступа. После проникновения в сеть злоумышленники могут длительное время «путешествовать» по ней, выискивая и анализируя подходящие файлы для компрометации. В их арсенале — разнообразные инструменты, включая такие программы, как Metasploit и Cobalt Strike. Североамериканский регион в последнее время стал основным объектом нападок. Ник Хайатт из Optiv подчеркивает, что их команда зафиксировала 70 инцидентов в этом регионе с июля 2022 по июнь 2023 года. |
Проверить безопасность сайта