گروه باجافزار "Snatch" یک گروه با هدف انجام عملیات باجافزاری RaaS (باجافزار به عنوان یک سرویس) میباشد که حداقل از سال ۲۰۱۸ فعال بوده است. این بدافزار رایانههای ویندوز را مجبور میکند قبل از رمزگذاری فایلها مجددا به حالت Safe Mode راهاندازی شوند.
این هشدار حاکی از آن است که مهاجمان، طیف گستردهای از بخشهای حیاتی زیرساخت، از جمله بخش فناوری اطلاعات، پایگاههای صنعتی دفاعی، و بخش غذا و کشاورزی را با آخرین حملاتی که در ماه ژوئن اتفاق افتاده مورد هدف قراردهند.
مشاوران امنیتی خاطرنشان کردند: از اواسط سال ۲۰۲۱، عاملان Snatch به طور مداوم تاکتیکهای خود را برای استفاده از روشهای موفقیتآمیز فعلی مجرمان سایبری و سایر باجافزارها توسعه دادهاند. مشاهده شدهاست که عوامل تهدید Snatch در حال خرید دادههای سرقت شده قبلی از سایر باجافزارها برای سوءاستفاده بیشتر از قربانیان و اخذ باج به ازای جلوگیری از انتشار اطلاعات آنها در وبلاگ اخاذی Snatch هستند.
گروه باجافزار Snatch در ۱۲ تا ۱۸ ماه گذشته فعالیت بیشتری داشته است و مسئولیت چندین حمله پرمخاطب اخیر را بر عهده گرفتهاند.
Snatch بدافزاری است که سیستمهای ویندوزی را وادار میکند تا در میانهی زنجیره حمله به حالت Safe Mode مجددا راهاندازی شوند تا بتواند فایلها را بدون شناسایی توسط ابزارهای آنتی ویروس (که اغلب در حالت Safe Mode اجرا نمیشوند) رمزگذاری کند.
Sophos که یکی از اولین فروشندگان امنیتی که این باجافزار است، در اواخر سال 2019 هشدار داده بود که نمی توان شدت خطر باجافزاری که در حالت Safe Mode اجرا می شود را نادیده گرفت.
به گفته Mumcuoglu: «یک تاکتیک منحصربهفرد که توسط گروه باجافزار Snatch استفاده میشود، بکارگیری از «بدافزار مخفی» است، به این صورت که بسیاری از رایانههای ویندوز اغلب مکانیسمهای محافظت از end-point را در حالت Safe Mode اجرا نمیکنند.»
مانند بسیاری از انواع باجافزار، Snatch دارای قابلیت رمزگذاری دادهها و همچنین مؤلفهای جهت سرقت دادهها از سیستمهای در معرض خطر قبل از فرایند رمزگذاری است. مهاجمان به طور معمول از این قابلیت جهت استخراج دادههای حساس از سازمانهای قربانی سوءاستفاده کرده و تهدید میکنند که در صورت عدم پرداخت باج، دادهها را به صورت عمومی افشا خواهند کرد و یا به دیگران می فروشند.
در بسیاری از حملات، اپراتورهای Snatch از نقاط ضعف پروتکل Remote Desktop Protocol یا RDP استفاده کردهاند تا به شبکه هدف، با دسترسی سطح ادمین به دست آورند. در موارد دیگر، آنها از اعتبارنامههای سرقت یا خریداری شده جهت به دست آوردن جایگاه اولیه استفاده کردهاند. هنگامی که مهاجم در یک شبکه قرار میگیرد، گاهی میتواند تا سه ماه در شبکه به جستجوی فایلها و پوشههای مورد نظر بپردازد. مشاوران تصریح کردند که اپراتورهای Snatch از ترکیبی از ابزارهای مشروع و مخرب در شبکههای در معرض خطر استفاده میکنند. این ابزارها شامل ابزارهای پس از بهرهبرداری مانند ابزار تست نفوذ متن باز Metasploit، Cobalt Strike برای بهرهبرداریهای بعدی و ابزارهایی مانند sc.exe جهت ایجاد، پرسو جو، افزودن و حذف سرویسها و انجام دیگر عملیات مخرب است.
- 65