Der Ransomware Snatch, auch bekannt als Snatch Team, hat eine neue Strategie eingeführt, um die Verschlüsselung der Daten zu erleichtern. Nach dem Eindringen in das System startet Snatch den Computer im abgesicherten Modus neu, bevor die Verschlüsselung beginnt. In diesem Modus werden die meisten Softwareprogramme, einschließlich Sicherheitssoftware, nicht gestartet.
Aber der Ransomware wird aktiviert und kann dann Dateien frei verschlüsseln und extrahieren sowie sich lateral durch das interne System des Unternehmens bewegen, um nach Anmeldedaten mit hohen Zugriffsprivilegien zu suchen.
Die Gruppe verwendet den Brute-Force-Angriff, um in die Systeme des Unternehmens einzudringen. Dieser Brute-Force-Angriff ist automatisiert, um schneller durchgeführt zu werden.
Bei einem kürzlichen Angriff der Gruppe drang die Ransomware mit dem Konto und Passwort des Administrators in einen Microsoft Azure-Server ein. Nachdem sie Zugriff auf den Server erlangt hatten, verbreitete sich die Ransomware im gesamten System, installierte sich auf mindestens 200 Maschinen und öffnete auf diesen Maschinen Ports für den Fernzugriff.
Der Ransomware blieb mehrere Tage unbemerkt im Netzwerk und sammelte sensible Informationen für das Unternehmen. Danach wurden die Dateien verschlüsselt, was den Betrieb des Unternehmens lahmlegte.
Dieser Fall ist ein klares Beispiel dafür, wie die Taktik der doppelten Erpressung funktioniert. Die Gruppen, die diese Taktik anwenden, sind nicht nur daran interessiert, das System des Unternehmens zu verschlüsseln. Sie können in das System eindringen und erst viele Wochen später mit der Verschlüsselung der Daten beginnen. In dieser Zeit können sie die Backup-Routine ändern und wertvolle Informationen für das Unternehmen extrahieren.
Angesichts eines so kritischen Szenarios, in dem die Dateien verschlüsselt sind, die Backups verändert wurden und der Druck besteht, dass die gestohlenen Daten im Internet veröffentlicht werden, und das Lösegeld leicht in Millionenhöhe geht. Die Ransomware-Wiederherstellung muss eine Option sein, vielleicht die am wenigsten katastrophale Option für das Unternehmen.
Wiederherstellen von durch Snatch Ransomware verschlüsselten Dateien
Wir bei Digital Recovery sind es gewohnt, in Fällen hoher Komplexität zu arbeiten, in denen die Dateien vollständig oder teilweise verschlüsselt wurden. Wir verfügen über exklusive Technologien, die unseren Kunden geholfen haben, Millionen von Dollar zu sparen, indem sie das von den Kriminellen geforderte Lösegeld nicht zahlen mussten.
Alle unsere Prozesse sind einzigartig und entsprechen den Datenschutzgesetzen (DSGVO). Außerdem stellen wir unseren Kunden die Vertraulichkeitsvereinbarung (NDA) zur Verfügung.
Vom ersten Kontakt bis zum Ende des Prozesses wird der Kunde von einem unserer Spezialisten begleitet, damit der Service personalisiert ist und wir so auf die tatsächlichen Bedürfnisse jedes Kunden eingehen können.
Es spielt keine Rolle, welches Speichermedium vom Ransomware betroffen ist, wir von Digital Recovery können Ihre Dateien wiederherstellen.
