Sophos descubre una nueva versión del ransomware Snatch

Un informe detalla los cambios en las TTPs de Snatch, incluyendo el reinicio del PC en modo seguro.

Sophos (LSE: SOPH), líder global en ciberseguridad de última generación, ha presentado un informe relacionado con su investigación: Snatch, el ransomware que reinicia la PC en modo seguro para evitar los protocolos de seguridad, elaborado por SophosLab y el Sophos Managed Threat Response. Dicho estudio detalla los cambios en el método de ataque de Snatch –identificado por primera vez en diciembre del 2018– los cuales ahora incluyen el reinicio de PCs en modo seguro durante el ataque para evadir las conductas de protección que detectan la actividad de ransomware. Sophos considera que se trata de una nueva técnica adoptada por ciberdelincuentes para evadir los protocolos de seguridad.

Como indica la tendencia señalada en el Informe sobre Ciberamenazas 2020 de Sophos, los ciberdelincuentes de Snatch podrían estar extrayendo datos incluso antes del ataque del ransomware. Este comportamiento ha sido utilizado por otros grupos criminales como Bitpaymer. Sophos prevé que esta secuencia de extracción previa a la encriptación continúe.

Este ransomware es un claro ejemplo de un ataque activo y automatizado. Una vez que los atacantes logran ingresar gracias al abuso en los servicios de acceso remoto, usan el teclado manualmente para burlar la seguridad y efectuar el daño. Como lo explica el informe Snatch, los atacantes están entrando a través de los servicios de acceso remoto inseguros de TI, tales como el Protocolo de Escritorio Remoto (RDP). El informe también muestra ejemplos del reclutamiento de criminales experimentados para comprometer los servicios de acceso remoto a través de foros en la dark web.

Consejos para los defensores

  • Ser proactivo en la búsqueda de amenazas: utilice un equipo interno o externo experto en operaciones de seguridad para monitorear amenazas las 24 horas del día.

  • Habilite machine/deep learning, mitigaciones de adversarios y detección de comportamientos en la seguridad de puntos finales.

  • Siempre que sea posible, identifique y apague los servicios de acceso remoto expuestos a la red pública.

  • Si requiere de acceso remoto, utilice una VPN con las mejores prácticas del sector como la autenticación multifactorial, auditorías de contraseñas y control de acceso preciso, además de supervisar activamente el acceso remoto.

  • Cada servidor con acceso remoto abierto a la red pública necesitará los parches actualizados, ser protegida mediante controles preventivos (como software que proteja los puntos finales) y monitorear activamente anomalías de acceso y otros comportamientos poco comunes.

  • Los usuarios registrados en los servicios de acceso remoto deberán tener privilegios limitados para el resto de la red corporativa.

  • Los administradores deberán adoptar autenticación multifactorial y usar una cuenta administrativa aparte de su cuenta de usuario normal.

  • Monitoreo activo de puertos RDP abiertos en el espacio del IP público.

Para mayor información y detalles técnicos precisos acerca del ransomware Snatch, por favor consulte SophosLabs Uncut.

Una vez que los atacantes logran ingresar gracias al abuso en los servicios de acceso remoto, usan el teclado manualmente para burlar la seguridad y efectuar el daño.Una vez que los atacantes logran ingresar gracias al abuso en los servicios de acceso remoto, usan el teclado manualmente para burlar la seguridad y efectuar el daño.
Los ciberdelincuentes de Snatch podrían estar extrayendo datos incluso antes del ataque del ransomware.Los ciberdelincuentes de Snatch podrían estar extrayendo datos incluso antes del ataque del ransomware.
Sitio oficial Sophos Méxicowww.sophos.com

Sophos - Snatch Ransomware (ESP).docx

DOCX - 479 Kb
Descargar

Sophos - Snatch Ransomware (ESP).pdf

PDF - 96 Kb
Descargar

Fernando Cornejo

Account Executive, Another Company

Mario García Cruz

Account Executive, Another Company

Consigue actualizaciones en tu bandeja de correo

Al hacer clic en "Suscribirse", confirmo que he leído y acepto la Política de Privacidad.

Sobre Sophos

Sophos es la empresa líder mundial en ciberseguridad de última generación, que protege a más de 500.000 organizaciones y millones de consumidores en más de 150 países de las ciberamenazas más avanzadas de la actualidad. Con tecnología para la detección de amenazas, inteligencia artificial y aprendizaje automático de SophosLabs y SophosAI, Sophos ofrece una amplia cartera de productos y servicios avanzados para proteger a los usuarios, redes y endpoints contra ransomware, malware, exploits, phishing y una amplia gama de ciberataques. Sophos proporciona una plataforma única de gestión integral basada en la nube llamada Sophos Central, el eje de un ecosistema de ciberseguridad adaptable que cuenta con un ‘lago de datos’ centralizado que aprovecha un amplio conjunto de API abiertas disponibles para clientes, socios, desarrolladores y otros proveedores de ciberseguridad. Sophos vende sus productos y servicios a través de socios distribuidores y proveedores de servicios administrados (MSP) en todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. Para más información, ingresa a www.sophos.com.

Contactar

www.sophos.com