O ransomware Snatch, também conhecido com Snatch Team, inaugurou uma nova estratégia para facilitar a encriptação dos dados. O snatch após a invasão do sistema, antes de iniciar a encriptação, reinicia o computador em modo de segurança. Nesse modo o sistema não inicia a maioria dos softwares, incluindo os de segurança.
Mas o ransomware é ativado, podendo então, encriptar e extrair os arquivos livremente, além de se mover lateralmente pelo sistema interno da empresa, em busca de credenciais com altos privilégios de acesso.
O grupo utiliza o ataque de força bruta para a invasão dos sistemas da empresa, esse ataque de força bruta é automatizada para que seja feito com mais agilidade.
Em um ataque recente do grupo, o ransomware forçou a entrada em um servidor Microsoft Azure com a conta e senha do administrador. Após obterem acesso ao servidor, o ransomware se espalhou por todo o sistema e se instalou em pelo menos 200 máquinas e abriu portas nessas máquinas para o acesso remoto.
O ransomware ficou escondido na rede por vários dias colhendo informações sensíveis para a empresa e após isso os arquivos foram encriptados paralisando o funcionamento da empresa.
Esse caso é um exemplo claro de como a tática de dupla extorsão funciona, os grupos que aderiram essa tática não estão interessados apenas em encriptar o sistema da empresa. Eles podem invadir o sistema e só começar a encriptar os dados muitas semanas depois, durante esse tempo eles podem alterar a rotina de backup, extrair informações valiosas para a empresa.
Diante de um cenário tão crítico como esse, quando os arquivos estão encriptados, o backups foram modificados e há uma pressão de que os dados roubados sejam vazados na internet, e o preço do resgate chegando facilmente a casa dos milhões de dólares. A recuperação de dados encriptados precisa ser uma opção, talvez a opção menos desastrosa para a empresa.
Recuperar Arquivos Encriptados por Ransomware Snatch
Nós da Digital Recovery estamos acostumados a atuar em casos de alta complexidade, onde os arquivos foram total ou parcialmente encriptados. Possuímos tecnologias exclusivas que fizeram com que os nossos clientes economizassem milhões de dólares com o não pagamento do resgate pedido pelos criminosos.
Todos os nossos processos são exclusivos e estão de acordo com as leis de proteção de dados (LGPD) e ainda disponibilizamos aos nossos clientes o acordo de confidencialidade (NDA).
Desde o primeiro contato até o fim do processo o cliente é acompanhado por um dos nossos especialistas, isso é para que o atendimento seja personalizado, para que assim possamos lidar com a necessidade de real de cada cliente.
Não importa qual dispositivo de armazenamento de dados foi afetado pelo ransomware, nós da Digital Recovery podemos recuperar os seus arquivos.
