Un equipo de investigación de SophosLabs y Sophos Managed Threat Response (SMTR) ha encontrado un nuevo ransomware denominado Snatch que reinicia las PC con Windows en modo seguro antes de iniciar el cifrado. Según los investigadores, este es un comportamiento nunca antes visto y la posible razón por la cual Snatch reinicia las PC en medio del ataque es para evadir las aplicaciones antivirus instaladas en las computadoras infectadas.
Los autores detrás de Snatch saben muy bien que la mayoría de las aplicaciones antivirus no son efectivas en el modo seguro de Windows, ya que el modo solo permite que los programas y servicios esenciales del sistema se ejecuten durante el arranque.
Snatch ransomware utiliza una clave de registro de Windows para programar el proceso de cifrado, lo que hace que sea imposible que el antivirus lo detecte o detenga el cifrado.
El ransomware Snatch fue descubierto hace un año por investigadores de seguridad y la nueva técnica para evitar las aplicaciones antivirus reiniciando las PC en modo seguro es una característica recientemente agregada.
Andrew Brandt, del equipo de investigación de Sophos, dice: “ SophosLabs considera que la gravedad del riesgo que representa el ransomware que se ejecuta en modo seguro no puede ser exagerada, y que también necesitamos publicar esta información como una advertencia para el resto de la industria de la seguridad. en cuanto a usuarios finales. «
La razón por la cual Snatch ransomware no ganó popularidad es que los autores detrás del ransomware o Snatch Team nunca tuvieron la intención de apuntar a usuarios domésticos y usuarios generales. Apuntaron cuidadosamente a empresas privadas y organizaciones gubernamentales.
En su informe, Sophos menciona que las organizaciones deben usar contraseñas seguras y autenticación multifactor para los servicios y puertos que están expuestos a Internet.
Fuente: Sophos