Исследовательская группа Sophos выявила новый эксплойт, который использует функцию Windows для обхода программного обеспечения безопасности, установленного на ПК.

Snatch Ransomware сбивает ваш компьютер и заставляет его перезагрузиться в безопасном режиме. В безопасном режиме антивирус и другое защитное программное обеспечение обычно отключаются, что позволяет программному обеспечению, которое автоматически запускается как услуга, зашифровывать ваш компьютер и затем требовать выкуп в биткойнах.

За последние 3 месяца Sophos уже сталкивалась с этой угрозой в 12 случаях, и так же требовался выкуп биткойн в диапазоне от 2900 до 51 000 долларов.

«Snatch может работать на большинстве распространенных версий Windows, с 7 по 10, в 32- и 64-разрядных версиях», - говорится в сообщении. «Наблюдаемое нами вредоносное ПО не может работать на других платформах».

Программа-вымогатель не использует какую-либо конкретную уязвимость, а скорее представляет собой набор уязвимостей для заражения ПК. Sophos рекомендует следующие меры для предотвращения и выявления инфекции:

Профилактика

Sophos рекомендует организациям любого размера воздерживаться от доступа к интерфейсу удаленного рабочего стола для незащищенного Интернета. Организации, которые хотят разрешить удаленный доступ к машинам, должны размещать их за VPN в своей сети, поэтому они не могут быть доступны любому, кто не имеет учетных данных VPN.

Злоумышленники также проявили интерес к заключению контрактов или найму преступников, способных взломать сети с использованием других типов инструментов удаленного доступа, таких как VNC и TeamViewer, а также тех, кто имеет опыт использования веб-оболочек или проникновения на серверы SQL с использованием метода SQL-инъекций. Само собой разумеется, что эти виды интернет-услуг также представляют значительный риск, если оставить их без присмотра.

Аналогичным образом, организации должны немедленно внедрить многофакторную аутентификацию для пользователей с правами администратора, чтобы злоумышленникам было труднее перебирать эти учетные данные.
Для клиентов Sophos обязательно рекомендует, чтобы бы все пользователи использовали самую последнюю защиту конечных точек и включили функцию CryptoGuard в Intercept X.

Обнаружение

Для организаций практически любого размера чрезвычайно важно проводить регулярную и тщательную инвентаризацию устройств, чтобы в вашей сети не было пробелов или «темных углов».
Выполнение вымогателя «Snatch» произошло после того, как субъекты угроз получили несколько дней необнаруженного и беспрепятственного доступа к сети. Строгая и продуманная программа поиска угроз будет иметь больший потенциал для выявления субъектов угроз до запуска исполняемого файла вымогателя.