Snatch Ransomware Reboots Windows dalam Safe Mode ke Bypass Antivirus

Peneliti cybersecurity telah menemukan varian baru dari Snatch ransomware yang pertama kali me-reboot komputer Windows yang terinfeksi ke Safe Mode dan hanya kemudian mengenkripsi file korban untuk menghindari deteksi antivirus.

Tidak seperti malware tradisional, ransomware Snatch baru memilih untuk dijalankan dalam Safe Mode karena dalam mode diagnostik sistem operasi Windows dimulai dengan sekumpulan driver dan layanan minimal tanpa memuat sebagian besar program startup pihak ketiga, termasuk perangkat lunak antivirus.

Snatch telah aktif setidaknya sejak musim panas 2018, tetapi para peneliti SophosLabs melihat peningkatan Safe Mode untuk jenis ransomware ini hanya dalam serangan cyber baru-baru ini terhadap berbagai entitas yang mereka selidiki.

"Para peneliti SophosLabs telah menyelidiki serangkaian serangan ransomware yang sedang berlangsung di mana ransomware dapat dieksekusi memaksa mesin Windows untuk reboot ke Safe Mode sebelum memulai proses enkripsi," kata para peneliti.

Baca Juga :

Empat VPN Mengandung Malware Berasal Dari China

Decrypt STOP Ransomware 148 Varian

Ekstensi Avast dan AVG Browser Memata-matai Pengguna Chrome dan Firefox

"Ransomware, yang menyebut dirinya Snatch, menetapkan dirinya sebagai layanan [disebut SuperBackupMan dengan bantuan registri Windows] yang akan dijalankan saat boot Safe Mode."

"Ketika komputer kembali setelah reboot, kali ini dalam Safe Mode, malware menggunakan komponen Windows net.exe untuk menghentikan layanan SuperBackupMan, dan kemudian menggunakan komponen Windows vssadmin.exe untuk menghapus semua Volume Shadow Copies di sistem, yang mencegah pemulihan forensik dari file yang dienkripsi oleh ransomware. "

Apa yang membuat Snatch berbeda dan berbahaya dari yang lain adalah bahwa selain ransomware, ia juga pencuri data. Snatch termasuk modul pencuri data yang canggih, yang memungkinkan penyerang mencuri informasi dalam jumlah besar dari organisasi target.

Meskipun Snatch ditulis dalam Go, bahasa pemrograman yang dikenal untuk pengembangan aplikasi lintas-platform, penulis telah merancang ransomware ini untuk dijalankan hanya pada platform Windows.

"Snatch dapat dijalankan pada versi Windows yang paling umum, dari 7 hingga 10, dalam versi 32 dan 64-bit. Sampel yang kami lihat juga dikemas dengan pengemas sumber terbuka UPX untuk mengaburkan isinya," kata para peneliti.

Selain itu, para penyerang di balik Snatch ransomware juga menawarkan peluang kemitraan kepada penjahat cyber dan karyawan jahat yang memiliki kredensial dan pintu belakang ke dalam organisasi besar dan dapat memanfaatkannya untuk menyebarkan ransomware.

#Cybernews