Snatch Ransomware khởi động lại Windows ở chế độ Safe Mode để vượt qua Anti-Virus

Gần đây, một biến thể mới của ransomware Snatch đã bị phát hiện. Biến thể này trước tiên tiên khởi động lại các máy tính Windows bị nhiễm ở chế độ Safe Mode và sau đó chỉ mã hóa các file của nạn nhân để tránh bị phát hiện bởi Anti-Virus.

Không giống như phần mềm độc hại truyền thống, biến thể ransomware Snatch mới lựa chọn thực thi ở Safe Mode vì ở chế độ thử nghiệm (diagnostic mode), Windows chỉ khởi động với những dịch vụ và tài nguyên tối thiểu mà không chạy hầu hết các chương trình khởi động cùng Windows của bên thứ ba, bao gồm cả phần mềm Anti-Virus.

Các nhà nghiên cứu cho biết "Ransomware Snatch tự thiết lập như một dịch vụ [có tên là SuperBackupMan bằng cách sử dụng Windows registry] và chạy trong khi khởi động ở Safe Mode."

"Khi máy tính hoạt động trở lại sau khi được khởi động lại, ở Safe Mode, phần mềm này sử dụng thành phần Windows net.exe để tạm dừng dịch vụ SuperBackupMan, sau đó sử dụng thành phần Windows vssadmin.exe để xóa tất cả các bản Volume Shadow Copy trên hệ thống để ngăn chặn việc phục hồi của các file bị mã hóa bởi ransomware."

Điều làm cho Snatchtrở nên khác biệt và nguy hiểm so với những loại mã độc khác là ngoài ransomware, nó còn có chức năng đánh cắp dữ liệu. Snatch bao gồm một mô-đun đánh cắp dữ liệu tinh vi, cho phép kẻ tấn công đánh cắp lượng thông tin khổng lồ từ các tổ chức mục tiêu.

Snatch có thể chạy trên hầu hết các phiên bản phổ biến của Windows, từ 7 đến 10, trong các phiên bản 32 và 64 bit. Các mẫu mã độc này cũng được đóng gói với trình đóng gói mã nguồn mở UPX để làm xáo trộn nội dung của chúng.

Bên cạnh đó, những kẻ tấn công đằng sau Snatch ransomware cũng bắt tay hợp tác với các tội phạm mạng khác đã từng khai thác được các thông tin xác thực (credentials) và triển khai backdoors thành công vào các tổ chức lớn để có thể khai thác nó và triển khai ransomware.

Các nhà nghiên cứu cho biết thêm: "Chúng tôi cũng tìm thấy một loạt các công cụ phần mềm khác đã được các nhóm tội phạm cài đặt trên các máy trong mạng của mục tiêu, bao gồm Process Hacker, IObit Uninstaller, PowerTool và PsExec. Những kẻ tấn công thường sử dụng chúng để cố gắng vô hiệu hóa các sản phẩm Anti-Virus".

Một số nguồn tin cho biết, tính từ thời điểm từ tháng 7 đến tháng 10 năm 2019, các nạn nhân đã có ít nhất 12 lần đàm phán với nhóm tội phạm tống tiền Snatch để giao dịch với số tiền chuộc trong khoảng từ 2,000$ - 35,000$, được trả bằng Bitcoin.

Nguồn: Lược dịch từ The Hacker News.