Sophos alerta contra nova versão do ransomware Snatch

A Sophos (LSE: SOPH), líder global em cibersegurança da próxima geração, divulgou a pesquisa investigativa "Ransomware Snatch Reinicia PCs em Modo de Segurança para Enganar a Proteção", realizada pela SophosLabs e Sophos Managed Threat Response. O estudo detalha as mudanças nos métodos de ataque do ransomware Snatch, avistado pela primeira vez em dezembro de 2018, incluindo reiniciar PCs em Modo de Segurança no meio da invasão para tentar evitar proteções comportamentais que detectam atividades de ransomware. A Sophos acredita que esta é uma nova técnica de ataque adotada por cibercriminosos para evitar defesas.

Dando continuidade a uma tendência registrada no Relatório de Ameaças para 2020 da SophosLabs, os cibercriminosos que utilizam o Snatch estão extraindo dados mesmo antes do ataque com ransomware começar. Este comportamento tem sido usado por outros grupos de ransomware, incluindo Bitpaymer. A Sophos acredita que esta tendência de copiar dados antes da encriptação via ransomware começar é algo que vai continuar. Os negócios que precisam se adequar à Lei Geral de Proteção de Dados Pessoais (LGPD) e outras leis regulatórias podem precisar notificar os reguladores de proteção de dados que foram vítimas do Snatch.

O Snatch é um exemplo de ataque ativo e automatizado que é descrito no Relatório de Ameaças para 2020 da SophosLabs. Uma vez que invasores ganham acesso ao explorar serviços de acesso remoto, eles usam suas habilidades de hacker para se moverem lateralmente e causar danos. Como explicado no relatório sobre o Snatch, invasores estão entrando via serviços de acesso remotos não seguros, como (mas não apenas) o Remote Desktop Protocol (RDP). O relatório traz exemplos de invasores que utilizam o Snatch recrutando potenciais colaboradores com habilidades em comprometer estes serviços em fóruns na dark web. Abaixo está uma captura de tela de uma destas conversas, em russo, que diz "procurando por parceiros com acesso a RDP/VNC/TeamViewer/WebShell/SQLinj em redes corporativas, lojas e outras empresas."

Aviso aos defensores:

- Seja proativo ao caçar ameaças: use um especialista interno ou equipe externa de operações de segurança para monitorar ameaças ao longo do dia
- Habilite machine/deep learning, mitigação ativa de adversários e detecção comportamental na segurança de terminais
- Onde possível, identifique e desligue serviços de acesso remoto expostos à redes públicas
- Se o acesso remoto for necessário, use VPN com autenticação multifatorial, audição de senhas e controle preciso de acesso, além de monitorar ativamente o acesso remoto
- Quaisquer servidores com acesso remoto aberto à redes públicas de internet precisa estar com as atualizações em dia e protegidos por controles preventivos (como software de proteção de terminais), bem como monitorar ativamente por logins estranhos e outros comportamentos anormais
- Usuários conectados aos serviços de acesso remoto devem ter privilégios limitados ao resto da rede corporativa
- Administradores devem adotar autenticação multifatorial e usar uma conta administrativa separada de sua conta normal de usuário
- Monitorar ativamente por portas RDP abertas em IPs de espaços públicos

Para mais informações e detalhes técnicos sobre o ransomware Snatch, acesse SophosLabs Uncut.

Sobre a Sophos

Como líder mundial em cibersegurança de próxima geração, a Sophos protege, das ameaças cibernéticas mais avançadas de hoje, aproximadamente 400.000 organizações de todos os tamanhos, em mais de 150 países. Desenvolvidas pelo SophosLabs - uma equipe global de inteligência de ameaças e ciência de dados - as soluções nativas de nuvem e aprimoradas por IA da Sophos protegem terminais (laptops, servidores e dispositivos móveis) e redes contra táticas e técnicas cibercriminosas em evolução, incluindo violações automatizadas e de adversários ativos, ransomware, malware, explorações, extração de dados, phishing e muito mais. A plataforma premiada baseada em nuvem, Sophos Central, integra todo o portfólio de produtos de primeira linha da Sophos, da solução Intercept X endpoint até a XG Firewall, em um único sistema chamado Segurança Sincronizada. Os produtos da Sophos estão disponíveis exclusivamente através de um canal global, com mais de 47.000 parceiros e provedores de serviços gerenciados (MSPs). A Sophos também disponibiliza inovadoras tecnologias comerciais aos clientes via Sophos Home. A empresa tem sede em Oxford, Reino Unido, e é negociada publicamente na Bolsa de Londres sob o símbolo "SOPH". Mais informações disponíveis em www.sophos.com.