Ransomware Snatch restartuje počítače do nouzového režimu, aby obešel jejich ochranu.
Sophos publikoval výzkumnou zprávu o ransomwaru Snatch. Tato studie detailně popisuje měnící se metody útoku ransomwaru Snatch (poprvé zaznamenán v prosinci 2018), včetně útoku využívajícího restartování počítačů do nouzového režimu, kterým se pokouší obejít behaviorální ochranu, detekující aktivitu ransomwaru.
Kyberzločinci stojící za ransomwarem Snatch se snaží získat data, než začne samotný útok ransomwaru. Stejný přístup dříve využily také ostatní ransomwarové skupiny jako třeba Bitpaymer. Sophos očekává, že tato sekvence exfiltrování dat před jejich zašifrování ransomwarem bude pokračovat. Pokud se firmy, které jsou povinné dodržovat GDPR nebo obdobné předpisy a zákony na ochranu dat, stanou obětí ransomwaru Snatch, budou o tom zřejmě muset informovat regulační orgány.
Snatch je příkladem automatizovaného aktivního útoku. Jakmile útočníci proniknou do sítě zneužitím služeb vzdáleného přístupu, provedou řadu kroků ztěžujících jejich odhalení. Podle Sophosu útočníci získávají přístup prostřednictvím nezabezpečených IT služeb vzdáleného přístupu, jako je (nejen) Remote Desktop Protocol (RDP). Zpráva Sophosu ukazuje i příklady, kdy útočníci využívající Snatch rekrutují na fórech dark webu potenciální spolupracovníky schopné kompromitovat služby vzdáleného přístupu.