A Sophos nemrég közzétett jelentése az először 2018 decemberében észlelt Snatch zsarolóvírus új támadó módszereit részletezi. Ezek közé tartozik az is, hogy támadás közben csökkentett módban indítja újra a PC-ket, amivel megkerüli a zsarolóvírus tevékenységet észlelő védelmi eszközöket és titkosítja a fájlokat. A Sophos szerint más kiberbűnözők is átvehetik a megoldást zsarolóvírusok fejlesztéséhez.
A Snatch mögött álló kiberbűnözők el is lopják az adatokat, mielőtt a zsarolóvírusos támadás megkezdődik. Ez más zsarolóvírus csoportoknál is megfigyelhető volt, például a Bitpaymernél is.
A Sophos arra számít, hogy a zsarolóvírus támadás előtti adatlopás trendje folytatódik.
A Snatch jó példa az automatizált aktív támadásra, melyet szintén említ a SophosLabs 2020-as Threat Reportja. Miután a támadók a távoli hozzáférést biztosító szolgáltatások kijátszásával megszerzik a belépéshez szükséges adatokat, manuális hacking módszerekkel laterálisan mozognak és károkat okoznak.
Magyar áldozatokat is szed az új zsarolóvírus
Az áldozat nem tudja megnyitni a fájljait, amik a .kodg végződést kapják.
A Snatch jelentés elmagyarázza, hogy a támadók a nem biztonságos IT-szolgáltatásokon, például a távoli hozzáférést nyújtó alkalmazásokon keresztül lépnek be a rendszerbe. Ilyen szolgáltatás például a Remote Desktop Protocol (távoli asztal, RDP) is, de nem csak azt használják. A jelentés arra is mutat példákat, hogy a Snatch támadói potenciális partnereket toboroznak a sötét web fórumain, akik képesek távoli hozzáférést biztosító szolgáltatások feltörésére.
Az egyetlen jó megoldás, ha a fontos fájlokról mindig van biztonsági másolatunk egy másik eszközön, vagy akár a felhőben, de semmiképpen sem ugyanazon az eszközön, amin dolgozunk. Ne nyissunk meg olyan csatolmányokat, amik ismeretlen feladótól származó e-mailben érkeznek, és mindig legyen egy naprakész biztonsági szoftverünk a gépen, mint például a BitDefender Anti-Ransomware.