说俄语的帮派是Mockney Heist Caper的忠实拥护者。好!
网络犯罪分子已经形成了勒索软件通过在其感染程序中间重新启动Windows机器来避免安全保护。
抢夺勒索软件迫使受损的Windows机器重新启动到安全模式,然后再启动到其文件加密过程中。
该策略似乎是绕过安全软件包提供的保护的一种方法,这些软件包通常被设计为在安全模式下不在PC上运行。
Sophos说,抢夺恶意软件首先出现在一年前大约之前出现,以添加安全模式加密例程的最新增强功能。此后,该强化的恶意软件从10月中旬左右开始进行的一系列攻击。
受害者之间的一个共同点是,他们拥有一台或多台具有远程桌面协议(RDP)的计算机。
混合威胁
Snatch是一种混合威胁,在多个方面构成了问题。例如,恶意软件捆绑了数据窃取器和钴罢工倒壳以及几个公开可用的渗透测试工具。
Sophos报道说,恶意软件正在通过有针对性的攻击传播,而不是勒索软件活动中常见的“喷雾和喷雾”方法,许多消费者近年来遭受了损失。
“The threat actors behind this malware (who refer to themselves on criminal message boards as ‘Snatch Team’) appear to have adopted the active automated attack model, in which they seek to penetrate enterprise networks via automated brute-force attacks against vulnerable, exposed services, and then leverage that foothold to spread internally within the targeted organization’s network through human-directed action,” SophosLabs’ Andrew Brandt explains in a发布。
在一个示例中,攻击者首先通过向Microsoft Azure Server的管理员密码将管理员密码违反了公司的内部网络。
使用Azure服务器作为立足点,攻击者滥用了受损的管理员的帐户,以登录同一网络上的域控制器计算机,然后再放低并在目标网络上进行侦察数周。
据SophoSlabs称,攻击者在约200台机器上安装了监视软件,或该特定组织内部网络上大约5%的计算机。这符合更大的模式,攻击将在最初的网络泄露后几天或几周等待,然后将勒索软件部署到目标机器上。
抢夺
Sophoslabs补充说,Snatch Ransomware背后的网络犯罪工作人员的假定成员正在提出要支付的费用,以换取对公司系统的远程访问。该提议是在俄罗斯的网络犯罪论坛上提出的。同一个人由在线绰号“ Bulettoothtony”进行,继续提供潜在的分支机构培训,以使用其技术(至少最初)。
Coveware是一家专门从事勒索软件受害者和攻击者之间进行勒索谈判的公司,据报道,自7月以来的12次与抢夺罪犯进行了谈判。
至少在某些情况下,付款是指向电子邮件地址“ Imboristheblade@[redacted] .com”,这显然引用了Guy Ritchie电影Snatch(2000)中的角色。
上述子弹牙Tony引用了同一电影中的另一个角色。
