Snatch, il ransomware che sfrutta la modalità provvisoria di Windows per superare le protezioni

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...oni_86080.html

I ricercatori di SophosLabs hanno scoperto un nuovo ransomware che riavvia il PC in modalità provvisoria per eludere antivirus e altre protezioni così da agire indisturbato. I riscatti chiesti oscillano fra i 2.000 e i 35.000 dollari

Click sul link per visualizzare la notizia.

[inited]

La pubblica amministrazione non sarà mai in grado di schierare questo tipo di difese...

[Saturn]

Ma pane al pane e vino al vino, ci si deve infettare scaricando il classico allegato o con le solite altre modalità, o i malintenzionati vanno a caccia di RDP in ascolto per poi sfruttare qualche vulnerabilità di Windows e iniettare 'sta schifezza ?

[coschizza]

Quote:

Originariamente inviato da Saturn

Ma pane al pane e vino al vino, ci si deve infettare scaricando il classico allegato o con le solite altre modalità, o i malintenzionati vanno a caccia di RDP in ascolto per poi sfruttare qualche vulnerabilità di Windows e iniettare 'sta schifezza ?

è anche scritto, la seconda

[coschizza]

Quote:

Originariamente inviato da inited

La pubblica amministrazione non sarà mai in grado di schierare questo tipo di difese...

perceh sola la PA? io direi in generale non le applica praticamente nessuno. Anzi per la PA ormai queste cosse sono obbligatorie per legge quindi e non le applica di fatto rischia multe anche solo per non aversi messo alla pari.

[Saturn]

Quote:

Originariamente inviato da coschizza

è anche scritto, la seconda

"Per portare a termine questo tipo di attacchi, i truffatori si affidano a tecniche di attacco classiche, come il Remote Desktop Protocol (RDP) e una volta riusciti ad ottenere un accesso remoto, riavviano la macchina così da poter lanciare il payload e, infine, chiedere il riscatto."

Si infatti, mi era sfuggita. Tutto si gioca sulle vulnerabilità di Windows non conosciute quindi...vediamo un po' come si evolve questa nuova magagna....

[gabmac2]

purtroppo il desktop remoto, ogni tanto, finisce in qualche problema
Non usandolo, automaticamente, ci si protegge?

[inited]

Quote:

Originariamente inviato da coschizza

perceh sola la PA? io direi in generale non le applica praticamente nessuno. Anzi per la PA ormai queste cosse sono obbligatorie per legge quindi e non le applica di fatto rischia multe anche solo per non aversi messo alla pari.

Perché parlo di cosa conosco, e questo genere di infrastrutture semplicemente non ci sono. Team di esperti messi lì a monitorare le minacce? Come no. Tecniche di machine Learning? Pura fantascienza. Autenticazione multifattore? Gli utenti si scassano le balle già per il fatto di dover cambiare la password regolarmente, prassi entrata in uso solo da pochi anni, l'età media degli utenti è così alta che semplicemente manca la cultura della sicurezza, la formazione non si fa perché sono soldi che possono essere spesi in qualche altro modo, e poi nessun centro di potere riconoscerebbe all'IT l'importanza di cui necessiterebbe, sarebbe una cessione di potere, per di più a gente che appare come strani stregoni, e dato che sono stregoni si può pretendere da loro che facciano magie nel proteggere le infrastrutture anche senza risorse (il classico "sennò a cosa servite voi informatici?") e non parliamo di quando gli informatici nemmeno ci sono perché in alcuni contesti proprio decidi che nemmeno sono necessari, salvo sperare nella buona volontà di qualche smanettone e prendertela con esso o essa quando poi non sono in grado di far fronte alle necessità.

[Marko_001]

@gabmac2
si, ma pare non mirino ai singoli utenti, dato che dopo l'intrusione parte
lo studio dell'attaccato che si protrae per diverso tempo e con altri strumenti
(Cobalt Strike, Advanced Port Scanner, Process Hacker, IObit Uninstaller,
PowerTool e PsExec)
che per un riscatto (o anche estrazione di dati, come pare faccia)
non vale il disturbo.
-
L'unico caso pubblicamente noto, dall'estate 2018, di attacchi Snatch
riusciti ad oggi è l'infezione del provider ASP.NET,
la società SmarterASP.NET , che serve oltre 440.000 clienti.
-
ps
se scrivono in russo non è detto che siano russi
infatti nel'articolo di sophos non c'è scritto che siano russi

[coschizza]

Quote:

Originariamente inviato da Saturn

"Per portare a termine questo tipo di attacchi, i truffatori si affidano a tecniche di attacco classiche, come il Remote Desktop Protocol (RDP) e una volta riusciti ad ottenere un accesso remoto, riavviano la macchina così da poter lanciare il payload e, infine, chiedere il riscatto."

Si infatti, mi era sfuggita. Tutto si gioca sulle vulnerabilità di Windows non conosciute quindi...vediamo un po' come si evolve questa nuova magagna....

no si parla di falle gia risolte ma loro cercano pc che non hanno messo le patch come fanno in molti purtroppo

[Saturn]

Quote:

Originariamente inviato da coschizza

no si parla di falle gia risolte ma loro cercano pc che non hanno messo le patch come fanno in molti purtroppo

Per questi non spendo una lacrima senza offesa, problemi loro, ma la mia paura rimane per il periodo post gennaio, di Windows 7 e 2008 esposti direttamente su internet con la porta 3389 aperta o, se va bene un'altra per l'RDP, ce ne sono quanti ne vuoi, tutto fatto spesso "artigianalmente" da chi non dovrebbe metterci le mani visto che l'azienda non è la sua, ma dove le amministrazioni però chiudono un occhio e tu devi "abbozzare"...

Quindi per questi irriducibili bisognerà provvedere almeno con le patch a pagamento del supporto esteso, dubito infatti che i vari "malintenzionati" si fermino alle vulnerabilità note già patchabili, questi due sistemi operativi secondo me saranno un bersaglio troppo ghiotto da ignorare...nessun allarmismo per carità, ma la questione non è affatto da sottovalutare...imho.

[Birkhoff92]

Per me che lavoro nel settore della cyberseecurity é veramente frustrante leggere ogni volta di questo errore . UN hacker é una PERSONA assunta da un'azienda per fare penetration testing , un cracker é un malintenzionato che usa le sue abilitá informatiche per compiere atti illegali verso le aziende o istituzioni o persone .

[gabmac2]

intanto grazie
su questo è sempre così, il singolo non vale il disturbo
la grossa infrastruttura si
più che altro si basa solamante sull' analisi di RDP?

[inited]

Quote:

Originariamente inviato da Birkhoff92

Per me che lavoro nel settore della cyberseecurity é veramente frustrante leggere ogni volta di questo errore . UN hacker é una PERSONA assunta da un'azienda per fare penetration testing , un cracker é un malintenzionato che usa le sue abilitá informatiche per compiere atti illegali verso le aziende o istituzioni o persone .

La definizione è data dalla consuetudine, e dopo trent'anni c'è ancora ampio utilizzo dei vari termini in maniera intercambiabile (solo in una direzione), pertanto non è un errore, dopotutto. La categoria degli hacker può essere anche riferita in termini di black hats e white hats, ad indicare le due diverse attitudini, tanto per dirne una, quindi mi farei una ragione ed eviterei stress inutili.

[gabmac2]

questa minaccia è legata in qualche modo alla possibile pubblicazione dei file, se non si paga?

[inited]

Quote:

Originariamente inviato da gabmac2

questa minaccia è legata in qualche modo alla possibile pubblicazione dei file, se non si paga?

Per lo più, i ransomware sono volti a impedirne l'accesso al legittimo possessore più che alla divulgazione. Non si tratta di sottrazione, ma di cifratura.

[gabmac2]

certamente,
però si è sentito parlare anche di divulgazione recentemente
Sarebbe interessante sapere su che servizi "attacca"