Sophos har identifierat en ny farlig version av gisslanprogrammet Snatch.
Genom att tvinga Windowsdatorer till omstart i felsäkert läge sätts många av de säkerhetslösningar som finns ur spel. När det är gjort påbörjar Snatch krypteringen av hårddisken.
Snatch antas ha funnits sedan sommaren 2018. Gisslanprogrammet består av olika verktyg som är anpassade för Windowsdatorer, bland annat en krypteringsfunktion och en separat komponent inriktad på att stjäla data. För att få tillgång till datorer använder Snatch ofta svaga punkter i Remote Desktop Protocol (RDP). Men att tvinga fram en omstart i felsäkert läge bedöms vara en ny funktion.
– Snatch visar tydligt hur gisslanprogram hela tiden utvecklas. Cyberkriminella arbetar i många avseenden som vanliga programmerare och använder ofta såväl automatiserade som manuella metoder för att nå sina mål. Snatch är också ett exempel på hur dagens attacker allt oftare inleds med att angriparen stjäl och analyserar data innan själva gisslanprogrammet sätts in, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.
Krävs skydd som stoppar i tidigt skede
– För att hantera den här typen av gisslanprogram krävs proaktiva IT-säkerhetslösningar som gör att en angripare aldrig kommer så långt som till att tvinga datorn till omstart i felsäkert läge. Avancerad maskininlärning och beteendeanalys är givna hjälpmedel. I det här fallet är det också särskilt viktigt att se över och begränsa möjligheterna till fjärrstyrning av datorer via RDP, avslutar Per Söderqvist