昨天(9月21日),美国当局发布了一份新的网络安全公告,介绍了Snatch勒索软件即服务(RaaS)组织使用的最新战术、技术和程序(TTPs)。
网络安全和基础设施安全局(CISA)和联邦调查局解释说,虽然Snatch于2018年首次出现,但自2021年以来一直在学习借鉴其他勒索软件的技术,现已发展“壮大”。
该勒索软件采用了经典的双重勒索“玩法”,如果受害者不付钱,就会将其详细信息发布到泄密网站上。
据观察,Snatch 威胁行为者会先从其他勒索软件中购买窃取的数据,试图进一步利用受害者支付赎金,以避免他们的数据被发布在 Snatch 的勒索博客上。
该组织通常会尝试暴力破解 RDP 端点或使用其在暗网上购买的凭证进行初始访问,俄通过入侵管理员账户以及 443 端口与罗斯防弹托管服务托管的命令控制服务器建立连接,从而获得持久性。
此外,公告中还提到,附属机构使用 Metasploit 和 Cobalt Strike 等工具进行横向移动和数据发现,有时会在受害者网络内花费长达三个月的时间。
他们还经常会尝试通过一种非常特殊的方式来禁用杀毒软件。
该报告解释说,Snatch攻击者使用一种定制的勒索软件变体,可以将设备重新启动到安全模式,使勒索软件能够绕过反病毒或端点保护的检测,然后在很少有服务运行时对文件进行加密。
受害组织来自多个关键基础设施领域,包括国防工业基地(DIB)、食品和农业以及科技领域。
CardinalOps 首席执行官 Michael Mumcuoglu 表示,在过去的 12 至 18 个月时间里,Snatch 勒索软件组织的活动有所增加。此前他们声称会对最近几起备受瞩目的攻击事件负责,其中包括涉及南非国防部、加利福尼亚州莫德斯托市、加拿大萨斯喀彻温省机场、总部位于伦敦的组织 Briars Group 和其他组织的攻击事件。
Optiv 公司的网络业务负责人Nick Hyatt提到,近几个月来,该组织的 TTP 并没有太大变化。在2022年7月至2023年6月期间,该公司跟踪了Snatch在所有垂直领域发动的70次攻击,这些攻击绝大多数集中在北美地区。