昨天（9月21日），美國(guó)當(dāng)局發(fā)布了一份新的網(wǎng)絡(luò)安全公告，介紹了Snatch勒索軟件即服務(wù)（RaaS）組織使用的最新戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）和聯(lián)邦調(diào)查局解釋說(shuō)，雖然Snatch于2018年首次出現(xiàn)，但自2021年以來(lái)一直在學(xué)習(xí)借鑒其他勒索軟件的技術(shù)，現(xiàn)已發(fā)展“壯大”。

該勒索軟件采用了經(jīng)典的雙重勒索“玩法”，如果受害者不付錢，就會(huì)將其詳細(xì)信息發(fā)布到泄密網(wǎng)站上。

據(jù)觀察，Snatch 威脅行為者會(huì)先從其他勒索軟件中購(gòu)買竊取的數(shù)據(jù)，試圖進(jìn)一步利用受害者支付贖金，以避免他們的數(shù)據(jù)被發(fā)布在 Snatch 的勒索博客上。

該組織通常會(huì)嘗試暴力破解 RDP 端點(diǎn)或使用其在暗網(wǎng)上購(gòu)買的憑證進(jìn)行初始訪問(wèn)，俄通過(guò)入侵管理員賬戶以及 443 端口與羅斯防彈托管服務(wù)托管的命令控制服務(wù)器建立連接，從而獲得持久性。

此外，公告中還提到，附屬機(jī)構(gòu)使用 Metasploit 和 Cobalt Strike 等工具進(jìn)行橫向移動(dòng)和數(shù)據(jù)發(fā)現(xiàn)，有時(shí)會(huì)在受害者網(wǎng)絡(luò)內(nèi)花費(fèi)長(zhǎng)達(dá)三個(gè)月的時(shí)間。

他們還經(jīng)常會(huì)嘗試通過(guò)一種非常特殊的方式來(lái)禁用殺毒軟件。

該報(bào)告解釋說(shuō)，Snatch攻擊者使用一種定制的勒索軟件變體，可以將設(shè)備重新啟動(dòng)到安全模式，使勒索軟件能夠繞過(guò)反病毒或端點(diǎn)保護(hù)的檢測(cè)，然后在很少有服務(wù)運(yùn)行時(shí)對(duì)文件進(jìn)行加密。

受害組織來(lái)自多個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，包括國(guó)防工業(yè)基地（DIB）、食品和農(nóng)業(yè)以及科技領(lǐng)域。

CardinalOps 首席執(zhí)行官 Michael Mumcuoglu 表示，在過(guò)去的 12 至 18 個(gè)月時(shí)間里，Snatch 勒索軟件組織的活動(dòng)有所增加。此前他們聲稱會(huì)對(duì)最近幾起備受矚目的攻擊事件負(fù)責(zé)，其中包括涉及南非國(guó)防部、加利福尼亞州莫德斯托市、加拿大薩斯喀徹溫省機(jī)場(chǎng)、總部位于倫敦的組織 Briars Group 和其他組織的攻擊事件。

Optiv 公司的網(wǎng)絡(luò)業(yè)務(wù)負(fù)責(zé)人Nick Hyatt提到，近幾個(gè)月來(lái)，該組織的 TTP 并沒(méi)有太大變化。在2022年7月至2023年6月期間，該公司跟蹤了Snatch在所有垂直領(lǐng)域發(fā)動(dòng)的70次攻擊，這些攻擊絕大多數(shù)集中在北美地區(qū)。