Las autoridades de EE. UU. publicaron ayer un nuevo aviso de ciberseguridad que actualiza a las organizaciones sobre las últimas tácticas, técnicas y procedimientos (TTP) utilizados por el grupo Snatch ransomware-as-a-service (RaaS).
Aunque apareció por primera vez en 2018, Snatch ha estado en desarrollo continuo desde 2021, tomando prestadas técnicas de otras operaciones, explicaron la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI.
Utiliza un manual clásico de doble extorsión, en el que los detalles de las víctimas se publican en un sitio de filtración si no pagan.
El grupo generalmente intenta forzar los puntos finales RDP o usar credenciales compradas en la web oscura para el acceso inicial, ganando persistencia al comprometer una cuenta de administrador y establecer conexiones a través del puerto 443 a un servidor de comando y control alojado por un servicio de alojamiento ruso a prueba de balas.
Los afiliados utilizan herramientas como Metasploit y Cobalt Strike para el movimiento lateral y el descubrimiento de datos, y a veces pasan hasta tres meses dentro de la red de una víctima, agrega el aviso.
A menudo también intentan desactivar el antivirus de una forma bastante idiosincrásica.
Las organizaciones de víctimas provienen de una variedad de sectores de infraestructura crítica, incluida la Base Industrial de Defensa (DIB) y la alimentación y la agricultura, así como la tecnología.
Entre julio de 2022 y junio de 2023, se rastrearon 70 ataques de Snatch en todos los sectores verticales. En su abrumadora mayoría, esos ataques se centraron en América del Norte.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian