El ransomware Snatch, también conocido como Snatch Team, ha dado a conocer una nueva estrategia para facilitar el cifrado de datos. Snatch, tras irrumpir en el sistema, antes de iniciar el cifrado, reinicia el ordenador en modo seguro. En este modo, el sistema no inicia la mayoría del software, incluido el de seguridad.
Pero el ransomware se activa y entonces puede cifrar y extraer archivos libremente, así como moverse lateralmente por el sistema interno de la empresa en busca de credenciales con altos privilegios de acceso.
El grupo utiliza el ataque de fuerza bruta para irrumpir en los sistemas de la empresa, este ataque de fuerza bruta está automatizado para que se realice con mayor agilidad.
En un reciente ataque del grupo, el ransomware forzó la entrada a un servidor de Microsoft Azure con la cuenta y contraseña del administrador. Tras conseguir el acceso al servidor, el ransomware se extendió por todo el sistema y se instaló en al menos 200 máquinas y abrió puertos en esas máquinas para el acceso remoto.
El ransomware estuvo oculto en la red durante varios días cosechando información sensible para la empresa y después de eso los archivos fueron encriptados paralizando el funcionamiento de la empresa.
Este caso es un claro ejemplo de cómo funciona la táctica de la doble extorsión, los grupos que se adhieren a esta táctica no sólo están interesados en cifrar el sistema de la empresa. Pueden entrar en el sistema y comenzar a cifrar los datos muchas semanas después, durante ese tiempo pueden alterar la rutina de copias de seguridad, extraer información valiosa para la empresa.
Ante un escenario tan crítico como éste, cuando los archivos están encriptados, las copias de seguridad han sido modificadas y existe la presión de que los datos robados se filtren en Internet, y el precio del rescate alcanza fácilmente los millones de dólares. La recuperación de los datos encriptados debe ser una opción, quizá la menos desastrosa para la empresa.
Recuperar los Archivos Encriptados por el Ransomware Snatch
En Digital Recovery estamos acostumbrados a trabajar en casos muy complejos en los que los archivos han sido cifrados total o parcialmente. Contamos con tecnologías exclusivas que han permitido a nuestros clientes ahorrar millones de dólares al no pagar el rescate exigido por los delincuentes.
Todos nuestros procesos son únicos y cumplen con las leyes de protección de datos (GDPR) y además ponemos a disposición de nuestros clientes el acuerdo de confidencialidad (NDA).
Desde el primer contacto hasta el final del proceso el cliente es acompañado por uno de nuestros especialistas, esto es para que el servicio sea personalizado, para que podamos atender la necesidad de real de cada cliente.
No importa qué dispositivo de almacenamiento de datos haya sido afectado por el ransomware, en Digital Recovery podemos recuperar sus archivos.
