Melindungi Keamanan Infrastruktur Penting dari Ancaman Ransomware Snatch

idNSA.id - Aktif sejak 2018, Snatch ditawarkan di bawah model ransomware-as-a-service (RaaS), dan telah menargetkan organisasi di Amerika Serikat sejak 2019. Sejak November 2021, grup tersebut telah mengoperasikan situs kebocoran, di mana ia mengancam akan mempublikasikan data yang dicuri kecuali uang tebusan dibayarkan.

Awalnya disebut Tim Truniger dan kemungkinan terkait dengan GandCrab, kelompok ransomware Snatch telah diamati membeli data yang dicuri oleh kelompok peretasan lain, untuk lebih memeras korban.

Kelompok Snatch, penasihat FBIdan CISA menjelaskan, biasanya mengeksploitasi kerentanan protokol desktop jarak jauh (RDP) untuk akses awal, tetapi juga terlihat memperoleh kredensial yang dikompromikan dari forum kejahatan dunia maya.

Grup ini menggunakan kredensial administrator yang disusupi untuk akses persisten ke jaringan korban, dan menetapkan komunikasi perintah-dan-kontrol (C&C) melalui HTTPS. Server C&C, kata kedua agensi, dihosting oleh layanan hosting antipeluru Rusia.

Sebelum penyebaran ransomware, pelaku ancaman Snatch menghabiskan hingga tiga bulan di jaringan korban, mencari data berharga untuk dieksfiltrasi dan mengidentifikasi sistem yang dapat mereka enkripsi. Mereka juga berusaha menonaktifkan perangkat lunak keamanan.

Setelah dijalankan, ransomware Snatch memodifikasi kunci registri, menyebutkan sistem, mencari proses tertentu, dan membuat proses jinak untuk mengeksekusi berbagai file batch. Dalam beberapa kasus, ia juga mencoba untuk menghapus salinan bayangan volume.

Ransomware juga terlihat me-reboot sistem dalam Safe Mode, untuk menghindari solusi deteksi endpoint dan untuk mengenkripsi file korban sementara hanya beberapa layanan yang berjalan pada sistem yang terinfeksi.

Malware menambahkan karakter heksadesimal ke nama file dan folder dan menjatuhkan catatan tebusan di setiap folder, menginstruksikan korban untuk terlibat dalam komunikasi melalui email atau menggunakan platform Tox.

"Sejak November 2021, beberapa korban melaporkan menerima panggilan palsu dari seorang wanita tak dikenal yang mengaku terkait dengan Snatch dan mengarahkan mereka ke lokasi pemerasan kelompok itu," jelas FBI dan CISA.

Kedua agensi juga mencatat bahwa, dalam beberapa kasus, meskipun keluarga ransomware yang berbeda dikerahkan, para korban diperas oleh kelompok Snatch, yang menyebabkan data yang dicuri diposting di dua situs kebocoran ransomware.

FBI dan CISA telah menerbitkan indikator kompromi (IoCs) dan taktik dan teknik MITRE ATT&CK yang terkait dengan Snatch, serta serangkaian mitigasi yang direkomendasikan yang dapat diterapkan organisasi untuk meningkatkan postur keamanan siber mereka.