I ransomware sono fra i malware più diffusi e devastanti e hanno già fatto vittime illustri, inclusi ospedali, città, aziende. Fortunatamente l'allarme ha spinto i più a prendere protezioni adeguate e ora sono numerose le soluzioni di protezione degli endpoint che bloccano l'azione di questi particolari virus. Gli hacker però non hanno intenzione di arrendersi e continuano a cercare nuove vie per portare a termine questi attacchi, che spesso si rivelano molto redditizi. Un esempio è Snatch, una nuova tecnica di attacco per aggirare le protezioni e installare subdolamente un ransomware.

Snatch: aggirare l'antivirus riavviando Windows

A partire dall'estate 2018, i ricercatori di Sophos hanno individuato una minaccia di tipo ransomware, Snatch. Uno dei tanti malware sul mercato, che però di recente è stato aggiornato con una nuova, pericolosissima, funzionalità: per eludere le protezioni installate sugli endopoint, Snatch riavvia Windows in modalità provvisoria, nella quale gli antivirus sono momentaneamente disabilitati, per poter criptare indisturbato file e cartelle.

Per portare a termine questo tipo di attacchi, i truffatori si affidano a tecniche di attacco classiche, come il Remote Desktop Protocol (RDP) e una volta riusciti ad ottenere un accesso remoto, riavviano la macchina così da poter lanciare il payload e, infine, chiedere il riscatto.

L'aspetto che colpisce maggiormente non è quello tecnico, ma come gli hacker, in particolare russi, si stanno organizzando per sfruttare al meglio questa minaccia. I ricercatori di Sophos hanno trovato conversazioni su dei forum in lingua russa nelle quali i truffatori cercano dei partner specializzati in hacking dei sistemi di accesso remoto così da poter aumentare i loro guadagni.

Nella schermata di seguito, il testo recita "Siamo alla ricerca di partners con accessi RDP\VNC\TeamViewer\WebShell\SQL inj [SQL injection] a corporate networks, negozi e altre aziende".

In altri messaggi all'interno della stessa conversazione, un utente si offre gratuitamente supporto e formazione sull'uso di Snatch, e di concedere ai migliori "studenti" l'accesso a un server sul quale gira Metasploit (uno degli strumenti più utilizzati per hackerare dei sistemi), concludendo con "siamo alla ricerca di nuove persone da aggiungere al nostro team".

Una vera e propria industria, che tra le altre cose si dimostra diffidente nei confronti di chi non parla russo, come dimostra questa schermata: