الرئيسية / أخبار تقنية / ‏Snatch Ransomware يعيد تشغيل جميع إصدارات ويندوز في الوضع الآمن

‏Snatch Ransomware يعيد تشغيل جميع إصدارات ويندوز في الوضع الآمن

‫اكتشف باحثو الأمن السيبراني متغيرًا جديدًا من برنامج Snatch Ransomware الذي يقوم أولاً بإعادة تشغيل أجهزة الكمبيوتر المصابة بالفيروسات في الوضع الآمن ثم يقوم بتشفير ملفات الضحايا فقط لتجنب اكتشاف مكافحة الفيروسات.‬

على عكس البرامج الضارة التقليدية يختار Snatch ransomware الجديد تشغيله في “الوضع الآمن” لأنه في وضع التشخيص يبدأ نظام التشغيل ويندوز مع مجموعة من برامج التشغيل والخدمات الحد الأدنى دون تحميل معظم برامج بدء التشغيل التابعة لجهة خارجية بما في ذلك برنامج مكافحة الفيروسات.‬

كان Snatch نشطًا على الأقل منذ صيف عام 2018 لكن الباحثين في SophosLabs رصدوا تعزيز الوضع الآمن لهذه السلالة من برامج الفدية فقط في الهجمات الإلكترونية الأخيرة ضد مختلف الكيانات التي حققوا فيها.‬

ويقول الباحثون: “كان الباحثون في SophosLabs يحققون في سلسلة مستمرة من هجمات الفدية التي يفرض فيها برنامج Ransomware القابل للتنفيذ على جهاز ويندوز إعادة التشغيل في الوضع الآمن قبل بدء عملية التشفير”.‬

‫”وتقوم رانسومواري التي تطلق على نفسها اسم Snatch بإعداد نفسها كخدمة [تسمى SuperBackupMan بمساعدة من سجل Windows] الذي سيتم تشغيله أثناء تمهيد Safe Mode.”‬

“وعندما يعود الكمبيوتر احتياطيًا بعد إعادة التشغيل هذه المرة في” الوضع الآمن “تستخدم البرامج الضارة net.exe لمكون ويندوز لإيقاف خدمة SuperBackupMan ثم يستخدم مكون Windows vssadmin.exe لحذف كافة نسخ الظل الاحتياطية لوحدة التخزين النظام والذي يمنع استرداد الطب الشرعي من الملفات المشفرة من قبل رانسومواري. “‬

وما يجعل Snatch مختلفًا وخطيرًا عن الآخرين هو أنه بالإضافة إلى Ransomware فهو أداة لسرقة البيانات ويتضمن Snatch وحدة متطورة لسرقة البيانات مما يسمح للمهاجمين بسرقة كميات هائلة من المعلومات من المنظمات المستهدفة.‬

على الرغم من أن Snatch مكتوب بلغة Go وهي لغة برمجة معروفة لتطوير التطبيقات عبر الأنظمة الأساسية إلا أن المؤلفين صمموا هذه الفدية لتعمل فقط على نظام ويندوز الأساسي.‬

ووفقًا للباحثون: “يمكن تشغيل Snatch على معظم إصدارات ويندوز الشائعة من 7 إلى 10 في إصدارات 32 و 64 بت والعينات التي رأيناها مليئة بـ UPX باكر مفتوح المصدر لتعمية محتوياتها”.‬

‫إلى جانب ذلك فإن المهاجمين وراء Snatch ransomware يقدمون فرص شراكة لمجرمي الإنترنت الآخرين والموظفين المارقين الذين لديهم أوراق اعتماد وخلفيات في مؤسسات كبيرة ويمكنهم استغلالها لنشر فدية.‬

كما هو موضح في لقطة الشاشة المأخوذة من منتدى تحت الأرض نشر أحد أعضاء المجموعة عرضًا “يبحث عن شركاء تابعين لهم حق الوصول إلى حقن RDP \ VNC \ TeamViewer \ WebShell \ SQL في شبكات الشركات والمتاجر والشركات الأخرى.”‬

وباستخدام بيانات اعتماد قسرية أو مسروقة يتمكن المهاجمون أولاً من الوصول إلى الشبكة الداخلية للشركة ثم يقومون بتشغيل العديد من مسؤولي النظام الشرعيين وأدوات اختبار الاختراق للتنازل على الأجهزة داخل نفس الشبكة دون رفع أي إشارة حمراء.‬

ويقول الباحثون “لقد وجدنا أيضًا مجموعة من الأدوات الشرعية التي تم اعتمادها بواسطة مجرمين مثبتين على أجهزة داخل شبكة الهدف بما في ذلك Process Hacker و IObit Uninstaller و PowerTool و PsExec وعادة ما يستخدم المهاجمون هذه الأدوات لمحاولة تعطيل منتجات AV”‬

‏‫Coveware وهي شركة متخصصة في مفاوضات الابتزاز بين المهاجمين وضحايا الفدية وأخبرت Sophos أنهم تفاوضوا مع مجرمي Snatch “في 12 مناسبة بين يوليو وأكتوبر 2019 نيابة عن عملائهم” مع دفع فدية تتراوح بين 2000 إلى 35000 دولار في عملات البيتكوين.‬

‫أخيرًا لمنع هجمات الفدية يُنصح المؤسسات بعدم الكشف عن خدماتها الهامة والمنافذ الآمنة على الإنترنت العام وإذا لزم الأمر قم بتأمينها باستخدام كلمة مرور قوية مع مصادقة متعددة العوامل.‬

عن فدوى

شاهد أيضاً

تطبيق واتس أب لديه الآن أكثر من 5 مليارات تحميل على أجهزة أندرويد

‫قام أكثر من خمسة مليارات مستخدم أندرويد بتنزيل تطبيق المراسلة الأكثر شعبية واتس أب المملوك …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *