Ransomware “Snatch”usa falha do modo de segurança do Windows para roubar dados

Um novo ataque de ransomware conhecido como Snatch foi identificado pela empresa de segurança e pesquisa Sophos. Segundo as informações da companhia, o Snatch tira proveito de uma nova falha no modo de segurança do Windows para ser executado na máquina infectada sem nenhuma defesa do antivírus ou de outros mecanismos de segurança.

O processo de funcionamento do ataque é bem simples: o Snatch derruba o seu sistema operacional, forçando uma reinicialização da máquina em modo de segurança. Neste modo, softwares de segurança, como antivírus, permanecem desativados. A partir daí, o Snatch, que é iniciado como um processo automático de serviço, criptografa os dados do usuário, exigindo o pagamento de um resgate por sua liberação – o clássico ransomware.

Ataques de ransomware afetam usuários comuns, mas são comumente direcionados a empresas. No caso do Snatch, a Sophos informa que ele é especificamente usado em companhias com redes desprotegidas, que façam uso de soluções de acesso remoto ao desktop. A recomendação é que, diante do uso de tais ferramentas, que ele seja feito por trás de uma VPN e evite-se empregá-los na internet comum.

A Sophos afirma ter identificado pelo menos 12 situações onde o Snatch foi empregado, com pedidos de resgate variando entre US$ 2.9 mil (R$ 11,9 mil) e US$ 51 mil (R$ 210.63 mil). “O Snatch pode rodar nas versões mais comuns do Windows, desde o 7 até o 10, tanto na versão 32 bits como na de 64 bits. O malware que observamos, porém, é incapaz de rodar em outras plataformas que não o Windows”, informa o relatório da empresa.

Outras medidas de prevenção incluem a implementação de autenticação em dois fatores para usuários com acesso administrativo e o emprego de programas compreensivos de busca por ameaças, já que quem faz uso do Snatch tende a ser proficiente na invasão de redes e costuma permanecer dentro delas por um tempo antes de executar o ataque.

Fonte: MS Power User