Il ransomware Snatch, noto anche come Snatch Team, ha svelato una nuova strategia per facilitare la crittografia dei dati. Snatch, dopo essersi introdotto nel sistema, prima di iniziare la crittografia, riavvia il computer in modalità sicura. In questa modalità il sistema non avvia la maggior parte dei software, compresi quelli di sicurezza.
Ma il ransomware viene attivato e può quindi criptare ed estrarre liberamente i file, così come muoversi lateralmente attraverso il sistema interno dell’azienda alla ricerca di credenziali con alti privilegi di accesso.
Il gruppo utilizza l’attacco di forza bruta per entrare nei sistemi dell’azienda, questo attacco di forza bruta è automatizzato in modo che sia fatto con più agilità.
In un recente attacco del gruppo, il ransomware ha forzato l’ingresso in un server Microsoft Azure con l’account e la password dell’amministratore. Dopo aver ottenuto l’accesso al server, il ransomware si è diffuso in tutto il sistema e si è installato su almeno 200 macchine e ha aperto le porte su queste macchine per l’accesso remoto.
Il ransomware è rimasto nascosto nella rete per diversi giorni raccogliendo informazioni sensibili per l’azienda e poi i file sono stati criptati paralizzando il funzionamento dell’azienda.
Questo caso è un chiaro esempio di come funziona la tattica della doppia estorsione, i gruppi che aderiscono a questa tattica non sono solo interessati a criptare il sistema dell’azienda. Possono introdursi nel sistema e iniziare a criptare i dati solo molte settimane dopo, durante questo periodo possono alterare la routine di backup, estrarre informazioni preziose per l’azienda.
Di fronte a uno scenario critico come questo, quando i file sono criptati, i backup sono stati modificati e c’è pressione perché i dati rubati trapelino su internet, e il prezzo del riscatto raggiunge facilmente i milioni di dollari. Il recupero dei dati criptati deve essere un’opzione, forse la meno disastrosa per l’azienda.
Recuperare i File Criptati da Snatch Ransomware
Noi di Digital Recovery siamo abituati a lavorare su casi molto complessi in cui i file sono stati totalmente o parzialmente criptati. Abbiamo tecnologie esclusive che hanno fatto risparmiare ai nostri clienti milioni di dollari non pagando il riscatto richiesto dai criminali.
Tutti i nostri processi sono unici e conformi alle leggi sulla protezione dei dati (GDPR) e forniamo ai nostri clienti anche l’accordo di riservatezza (NDA).
Dal primo contatto fino alla fine del processo il cliente è accompagnato da uno dei nostri specialisti, questo affinché il servizio sia personalizzato, in modo da poter affrontare il bisogno di reale di ogni cliente.
Non importa quale dispositivo di archiviazione dati sia stato colpito dal ransomware, noi di Digital Recovery possiamo recuperare i tuoi file.
