Descubren una nueva versión del ransomware Snatch

Descubren una nueva versión del ransomware Snatch
Los ciberdelincuentes de Snatch podrían estar extrayendo datos incluso antes del ataque del ransomware.

Un informe detalla los cambios en las TTPs de Snatch, incluyendo el reinicio del PC en modo seguro.

Sophos ha presentado un informe relacionado con su investigación: Snatch, el ransomware que reinicia la PC en modo seguro para evitar los protocolos de seguridad, elaborado por SophosLab y el Sophos Managed Threat Response. Dicho estudio detalla los cambios en el método de ataque de Snatch –identificado por primera vez en diciembre de 2018– los cuales ahora incluyen el reinicio de PCs en modo seguro durante el ataque para evadir las conductas de protección que detectan la actividad de ransomware. Sophos considera que se trata de una nueva técnica adoptada por ciberdelincuentes para evadir los protocolos de seguridad.

Como indica la tendencia señalada en el Informe sobre Ciberamenazas 2020 de Sophos, los ciberdelincuentes de Snatch podrían estar extrayendo datos incluso antes del ataque del ransomware. Este comportamiento ha sido utilizado por otros grupos criminales como Bitpaymer. Sophos prevé que esta secuencia de extracción previa a la encriptación continúe.

Este ransomware es un claro ejemplo de un ataque activo y automatizado. Una vez que los atacantes logran ingresar gracias al abuso en los servicios de acceso remoto, usan el teclado manualmente para burlar la seguridad y efectuar el daño. Como lo explica el informe Snatch, los atacantes están entrando a través de los servicios de acceso remoto inseguros de TI, tales como el Protocolo de Escritorio Remoto (RDP). El informe también muestra ejemplos del reclutamiento de criminales experimentados para comprometer los servicios de acceso remoto a través de foros en la dark web.

Te puede interesar  Sophos adquirió SurfRight

Consejos para defenderse

  • Ser proactivo en la búsqueda de amenazas: utilice un equipo interno o externo experto en operaciones de seguridad para monitorear amenazas las 24 horas del día.
  • Habilite machine/deep learning, mitigaciones de adversarios y detección de comportamientos en la seguridad de puntos finales.
  • Siempre que sea posible, identifique y apague los servicios de acceso remoto expuestos a la red pública.
  • Si requiere de acceso remoto, utilice una VPN con las mejores prácticas del sector como la autenticación multifactorial, auditorías de contraseñas y control de acceso preciso, además de supervisar activamente el acceso remoto.
  • Cada servidor con acceso remoto abierto a la red pública necesitará los parches actualizados, ser protegida mediante controles preventivos (como software que proteja los puntos finales) y monitorear activamente anomalías de acceso y otros comportamientos poco comunes.
  • Los usuarios registrados en los servicios de acceso remoto deberán tener privilegios limitados para el resto de la red corporativa.
  • Los administradores deberán adoptar autenticación multifactorial y usar una cuenta administrativa aparte de su cuenta de usuario normal.
  • Monitoreo activo de puertos RDP abiertos en el espacio del IP público.
Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados

Tipo de error: "Forbidden". Mensaje de error: "The request cannot be completed because you have exceeded your quota." Dominio: "youtube.quota". Razón: "quotaExceeded".

Did you added your own Google API key? Look at the help.

Comprueba en YouTube si el id UC8nOuNcjMh0JO1VR8vMCO4A corresponde a un channelid. Revise el FAQ del plugin or envíe los mensajes de error a support.


Instagram incorpora videos en su sección Explore

El video está creciendo en Instagram y por eso hoy estamos haciendo que sea más fácil que nunca descubrir los...

Cerrar