昨天（9月21日），美國當局發(fā)布了一份新的網(wǎng)絡安全公告，介紹了Snatch勒索軟件即服務（RaaS）組織使用的最新戰(zhàn)術、技術和程序（TTPs）。

網(wǎng)絡安全和基礎設施安全局（CISA）和聯(lián)邦調(diào)查局解釋說，雖然Snatch于2018年首次出現(xiàn)，但自2021年以來一直在學習借鑒其他勒索軟件的技術，現(xiàn)已發(fā)展“壯大”。

該勒索軟件采用了經(jīng)典的雙重勒索“玩法”，如果受害者不付錢，就會將其詳細信息發(fā)布到泄密網(wǎng)站上。

據(jù)觀察，Snatch 威脅行為者會先從其他勒索軟件中購買竊取的數(shù)據(jù)，試圖進一步利用受害者支付贖金，以避免他們的數(shù)據(jù)被發(fā)布在 Snatch 的勒索博客上。

該組織通常會嘗試暴力破解 RDP 端點或使用其在暗網(wǎng)上購買的憑證進行初始訪問，俄通過入侵管理員賬戶以及 443 端口與羅斯防彈托管服務托管的命令控制服務器建立連接，從而獲得持久性。

此外，公告中還提到，附屬機構使用 Metasploit 和 Cobalt Strike 等工具進行橫向移動和數(shù)據(jù)發(fā)現(xiàn)，有時會在受害者網(wǎng)絡內(nèi)花費長達三個月的時間。

他們還經(jīng)常會嘗試通過一種非常特殊的方式來禁用殺毒軟件。

該報告解釋說，Snatch攻擊者使用一種定制的勒索軟件變體，可以將設備重新啟動到安全模式，使勒索軟件能夠繞過反病毒或端點保護的檢測，然后在很少有服務運行時對文件進行加密。

受害組織來自多個關鍵基礎設施領域，包括國防工業(yè)基地（DIB）、食品和農(nóng)業(yè)以及科技領域。

CardinalOps 首席執(zhí)行官 Michael Mumcuoglu 表示，在過去的 12 至 18 個月時間里，Snatch 勒索軟件組織的活動有所增加。此前他們聲稱會對最近幾起備受矚目的攻擊事件負責，其中包括涉及南非國防部、加利福尼亞州莫德斯托市、加拿大薩斯喀徹溫省機場、總部位于倫敦的組織 Briars Group 和其他組織的攻擊事件。

Optiv 公司的網(wǎng)絡業(yè)務負責人Nick Hyatt提到，近幾個月來，該組織的 TTP 并沒有太大變化。在2022年7月至2023年6月期間，該公司跟蹤了Snatch在所有垂直領域發(fā)動的70次攻擊，這些攻擊絕大多數(shù)集中在北美地區(qū)。