Le ransomware Snatch, également connu sous le nom de Snatch Team, a dévoilé une nouvelle stratégie pour faciliter le cryptage des données. Snatch, après s’être introduit dans le système, avant de commencer le cryptage, redémarre l’ordinateur en mode sans échec. Dans ce mode, le système ne démarre pas la plupart des logiciels, y compris les logiciels de sécurité.
Mais le ransomware est activé et peut alors librement crypter et extraire des fichiers, ainsi que se déplacer latéralement dans le système interne de l’entreprise à la recherche d’informations d’identification avec des privilèges d’accès élevés.
Le groupe utilise l’attaque par force brute pour s’introduire dans les systèmes de l’entreprise, cette attaque par force brute est automatisée afin d’être réalisée avec plus d’agilité.
Dans une récente attaque du groupe, le ransomware a forcé l’entrée d’un serveur Microsoft Azure avec le compte et le mot de passe de l’administrateur. Après avoir obtenu l’accès au serveur, le ransomware s’est répandu dans tout le système et s’est installé sur au moins 200 machines et a ouvert des ports sur ces machines pour un accès à distance.
Le ransomware est resté caché sur le réseau pendant plusieurs jours, récoltant des informations sensibles pour l’entreprise, puis les fichiers ont été cryptés, paralysant le fonctionnement de l’entreprise.
Ce cas est un exemple clair du fonctionnement de la tactique de la double extorsion. Les groupes qui adhèrent à cette tactique ne sont pas seulement intéressés par le cryptage du système de l’entreprise. Ils peuvent s’introduire dans le système et ne commencer à crypter les données que plusieurs semaines plus tard. Pendant ce temps, ils peuvent modifier la routine de sauvegarde et extraire des informations précieuses pour l’entreprise.
Face à un scénario aussi critique, lorsque les fichiers sont cryptés, que les sauvegardes ont été modifiées et qu’il existe une pression pour que les données volées soient divulguées sur Internet, le prix de la rançon atteint facilement les millions de dollars. La récupération des données cryptées doit être une option, peut-être l’option la moins désastreuse pour l’entreprise.
Récupérer les Fichiers Cryptés par Snatch Ransomware
Chez Digital Recovery, nous avons l’habitude de travailler sur des cas très complexes où les fichiers ont été totalement ou partiellement cryptés. Nous disposons de technologies exclusives qui ont permis à nos clients d’économiser des millions de dollars en ne payant pas la rançon exigée par les criminels.
Tous nos processus sont uniques et conformes aux lois sur la protection des données (GDPR) et nous fournissons également à nos clients l’accord de confidentialité (NDA).
Depuis le premier contact jusqu’à la fin du processus, le client est accompagné par l’un de nos spécialistes, ceci afin que le service soit personnalisé, afin que nous puissions traiter le besoin de réel de chaque client.
Quel que soit le dispositif de stockage de données qui a été affecté par le ransomware, nous, chez Digital Recovery, pouvons récupérer vos fichiers.
