El equipo de SophosLabs han estado investigando una serie continua de ataques de ransomware “Snatch” en los que el ejecutable del ransomware obliga a la máquina Windows a reiniciarse en modo seguro antes de comenzar el proceso de cifrado. De esta manera los atacantes pueden utilizar esta técnica para evitar la protección del punto final.

Su función se basa en reiniciar las máquinas infectadas en modo seguro para evitar que el software de seguridad lo pueda detectar, además de cifrar archivos sin ser detectado. Snatch puede ejecutarse en las versiones más comunes de Windows, de 7 a 10, en versiones de 32 y 64 bits.

Este ransomware busca penetrar las redes empresariales a través de ataques de fuerza bruta, ingresando a los servidores por medio de escritorio remoto (RDP). El malware incluso va más allá al eliminar todo el volumen de las copias instantáneas que se generan en el sistema, evitando así la recuperación forense de archivos cifrados.

Se recomienda lo siguiente:

• Actualizar los equipos con Windows a las últimas versiones.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Limitar el número de usuarios permitidos para conexiones de escritorio remoto.
• Habilitar la autenticación multifactor para proteger las cuentas de administrador de posibles ataques de fuerza bruta
• Como buena práctica aplicar un estándar de copia de seguridad de los datos a través de la regla 3-2-1
• Las organizaciones que deseen permitir el acceso remoto a las máquinas, utilizar VPN en su red, deste modo nadie se pueda conectar sin tener las credenciales del VPN.