Snatch Ransomware
El Snatch Ransomware es una variante de ransomware que fue descubierta en los primeros meses del 2019. Tiene el modelo Ransomware-as-a-Service (RaaS), que es un modelo de negocio que permite a ciberdelincuentes que no tienen las habilidades para desarrollar estos malwares utilizarlos contra sus víctimas elegidas, obteniendo herramientas que son facilitadas por la banda Snatch. Este ransomware fue desarrollado utilizando el lenguaje de programación Go. Su nombre, Snatch, también se escribe S.N.Atch, que se refiere a Security Notification Attachment. Aunque Snatch ha atacado a todo tipo de empresas, suelen preferir las víctimas del sector salud, de tecnologías de información y a las organizaciones manufactureras.
En lugar de solo encriptar los archivos directamente, reinicia el sistema, forzando a que la máquina entre al Safe Mode, lo que ocasiona que se desactiven varios SafeGuards o se les haga bypass, eliminando shadow copies para impedir la recuperación del sistema, y generando archivos batch aleatorios para su ejecución. Esto le permite al ransomware evitar la detección por los antivirus o EDRs y así poder encriptar la información. Utiliza empaquetadores comunes tales como UPX, para ocultar su payload.
Para obtener accesos y permanecer en la red de las víctimas, el grupo Snatch se centra en la explotación de vulnerabilidades del Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) haciendo ataques de fuerza bruta para obtener la cuenta de administrador. También, hay evidencia que han buscado credenciales comprometidas en foros y mercados criminales. Establecen la conexión mediante el puerto 443 a un server C2 (Command and Control) ubicado en un servicio de host ruso “a prueba de balas”, obteniendo permanencia en la red de la víctima con una cuenta de administrador. Entre otras herramientas que utilizan se encuetran PsExec, PowerTool, IObit Uninstaller y Process Hacker.
Para poder desplegar el ransomware, el grupo Snatch busca deshabilitar el antivirus y ejecutar el archivo save.exe. En víctimas recientes, y con el objetivo de evadir la detección basada en firmas, el nombre del archivo ejecutable del ransomware era el mismo que su hash en la regla SHA-256. Después que consultar y modificar llaves de registro, usar herramientas nativas de Windows para encontrar procesos y crear otros malignos para ejecutar archivos batch (.bat), el ransomware intenta de eliminar todas las shadow copies del sistema. El archivo que dejan para avisarle a la víctima sobre el ataque se llama HOW TO RESTORE YOUR FILES.TXT, en cada carpeta. Se dice que, de otra forma y desde noviembre del 2021, las víctimas también reciben una llamada de una mujer desconocida que menciona estar asociada al grupo Snatch, y les da indicaciones para entrar a su sitio de extorsión.
Taxonomía de ataque
|
Táctica |
Técnica |
ID |
|
Reconaissance |
Gather Victim Network Information |
T1590 |
|
Resource Development |
Acquire Infrastructure: Virtual Private Server |
T1583.003 |
|
Initial Access |
Valid Accounts |
T1078 |
|
Initial Access |
External Remote Services |
T1133 |
|
Execution |
System Services: Service Execution |
T1569.002 |
|
Execution |
Command and Scripting Interpreter: Windows Command Shell |
T1059.003 |
|
Execution |
Scripting |
T1064 |
|
Privilege Escalation |
Process Injection |
T1055 |
|
Defense Evasion |
Obfuscated Files or Information |
T1027 |
|
Defense Evasion |
Masquerading |
T1036 |
|
Defense Evasion |
Indicator Removal: File Deletion |
T1070.004 |
|
Defense Evasion |
Impair Defenses: Disable or Modify Tools |
T1562.001 |
|
Defense Evasion |
Impair Defenses: Safe Mode Boot |
T1562.009 |
|
Credential Access |
Brute Force: Password Guessing |
T1110.001 |
|
Discovery |
System Information Discovery |
T1082 |
|
Discovery |
System Location Discovery |
T1614 |
|
Lateral Movement |
Remote Services: Remote Desktop Protocol |
T1021.001 |
|
Collection |
Data From Local System |
T1005 |
Recomendaciones
Las recomendaciones para evitar ser atacados por el Hunters International ransomware son similares a los de la mayoría de los ransomware conocidos.
-
Tener filtros de correo electrónico y spam.
-
Auditar herramientas de acceso remoto.
-
Revisar logs para de ejecución de software de acceso remoto.
-
Limitar estrictamente el uso de RDP.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Mantener los sistemas operativos y software en general actualizados.
-
Realizar copias de seguridad o backups constantemente, manteniéndolos en una ubicación segura.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener políticas de control de accesos.
Indicadores de compromiso
|
Tipo |
Indicador |
Nombre de archivo |
|
FileHash-SHA256 |
bf5f4d7b6ef1fdb903677e4ede04fb49952e08cee79822b9b53642bb5d1e6f02 |
|
|
FileHash-SHA256 |
0965cb8ee38adedd9ba06bdad9220a35890c2df0e4c78d0559cd6da653bf740f |
qesbdksdvnotrjnexutx.bat |
|
FileHash-SHA256 |
1fbdb97893d09d59575c3ef95df3c929fe6b6ddf1b273283e4efadf94cdc802d |
eqbglqcngblqnl.bat |
|
FileHash-SHA256 |
5950b4e27554585123d7fca44e83169375c6001201e3bf26e57d079437e70bcd |
safe.exe |
|
FileHash-SHA256 |
7018240d67fd11847c7f9737eaaae45794b37a5c27ffd02beaacaf6ae13352b3 |
safe.exe |
|
FileHash-SHA256 |
28e82f28d0b9eb6a53d22983e21a9505ada925ebb61382fabebd76b8c4acff7c |
safe.exe |
|
FileHash-SHA256 |
fc31043b5f079ce88385883668eeebba76a62f77954a960fb03bf46f47dbb066 |
safe.exe |
|
FileHash-SHA256 |
a201f7f81277e28c0bdd680427b979aee70e42e8a98c67f11e7c83d02f8fe7ae |
DefenderControl.exe |
|
FileHash-SHA256 |
6992aaad3c47b938309fc1e6f37179eb51f028536f8afc02e4986312e29220c0 |
PRETTYOCEANApplicationdrs.bi |
|
FileHash-SHA256 |
510e9fa38a08d446189c34fe6125295f410b36f00aceb65e7b4508e9d7c4e1d1 |
Setup.exe |
|
FileHash-SHA256 |
ed0fd61bf82660a69f5bfe0e66457cfe56d66dd2b310e9e97657c37779aef65d |
WRSA.exe |
|
FileHash-SHA256 |
2155a029a024a2ffa4eff9108ac15c7db527ca1c8f89ccfd94cc3a70b77cfc57 |
ghnhfglwaplf.bat |
|
FileHash-SHA256 |
251427c578eaa814f07037fbe6e388b3bc86ed3800d7887c9d24e7b94176e30d |
nllraq.bat |
|
FileHash-SHA256 |
3295f5029f9c9549a584fa13bc6c25520b4ff9a4b2feb1d9e935cc9e4e0f0924 |
ygariiwfenmqteiwcr.bat |
|
FileHash-SHA256 |
6c9d8c577dddf9cc480f330617e263a6ee4461651b4dec1f7215bda77df911e7 |
bsfyqgqeauegwyfvtp.bat |
|
FileHash-SHA256 |
84e1476c6b21531de62bbac67e52ab2ac14aa7a30f504ecf33e6b62aa33d1fe5 |
rgibdcghzwpk.bat |
|
FileHash-SHA256 |
a80c7fe1f88cf24ad4c55910a9f2189f1eedad25d7d0fd53dbfe6bdd68912a84 |
pxyicmajjlqrtgcnhi.bat |
|
FileHash-SHA256 |
b998a8c15cc19c8c31c89b30f692a40b14d7a6c09233eb976c07f19a84eccb40 |
evhgpp.bat |
|
FileHash-SHA256 |
1fbdb97893d09d59575c3ef95df3c929fe6b6ddf1b273283e4efadf94cdc802d |
eqbglqcngblqnl.bat |
|
FileHash-SHA256 |
0965cb8ee38adedd9ba06bdad9220a35890c2df0e4c78d0559cd6da653bf740f |
qesbdksdvnotrjnexutx.bat |
|
FileHash-SHA256 |
b998a8c15cc19c8c31c89b30f692a40b14d7a6c09233eb976c07f19a84eccb40 |
|
|
FileHash-SHA256 |
a80c7fe1f88cf24ad4c55910a9f2189f1eedad25d7d0fd53dbfe6bdd68912a84 |
|
|
FileHash-SHA256 |
84e1476c6b21531de62bbac67e52ab2ac14aa7a30f504ecf33e6b62aa33d1fe5 |
|
|
FileHash-SHA1 |
18f963dbee830e64828991d26a06d058326c1ddb |
|
|
FileHash-SHA1 |
5b86cf095fe515b590d18b2e976d9e544c43f6ca |
|
|
FileHash-SHA1 |
5da4de1dbba55774891497297396fd2e5c306cf5 |
|
|
FileHash-SHA1 |
0882f2e72f1ca4410fe8ae0fa1138800c3d1561d |
|
|
FileHash-SHA1 |
c24aee8fa0a81a82fe73bf60e0282b1038d6ea80 |
|
|
FileHash-SHA1 |
89be35c19a65b9e6f7a277e1a9f66ab76d024378 |
|
|
FileHash-SHA1 |
b3759d5a6412d085556fb081fd710ce62f18687f |
|
|
Email Address |
sn.tchnews.top@protonmail[.]me |
|
|
Email Address |
funny385@swisscows[.]email |
|
|
Email Address |
funny385@proton[.]me |
|
|
Email Address |
russellrspeck@seznam[.]cz |
|
|
Email Address |
russellrspeck@protonmail[.]com |
|
|
Email Address |
Mailz13MoraleS@proton[.]me |
|
|
Email Address |
datasto100@tutanota[.]com |
|
|
Email Address |
snatch.vip@protonmail[.]com |
|
|
|
|
|
|
|
|
|
|
|
|
Referencias
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-263a
https://brandefense.io/blog/ransomware/snatch-ransomware-analysis/
https://socradar.io/dark-web-profile-snatch-ransomware/
