The Sophos team warned about a dangerous ransomware trick, Encrypting data after restarting Windows computers in safe mode.

Recently implemented by the Snatch ransomware, it is effective against much endpoint security software, Which often does not load when safe mode is active.

All this despite the fact that in real-world attacks analyzed by MTR, Snatch starts like many other ransomware campaigns currently targeting corporate networks. Attackers look for weakly protected RDP ports to gain access to Azure servers, un punto de apoyo que usan para moverse lateralmente a los controladores de dominios de Windows, a menudo pasando semanas reuniendo información.

Su enfoque es cargar un servicio de Windows llamado SuperBackupMan que no se puede detener o pausar, lo que agrega una clave de registro que garantiza que el destino se iniciará en modo seguro después de su próximo reinicio.

Solo después de que esto haya sucedido, y la máquina haya entrado en modo seguro, ejecuta una rutina que elimina las instantáneas de volumen de Windows, después de lo cual cifra todos los documentos que detecta en el destino.

Usar el modo seguro para evitar la seguridad tiene sus ventajas y desventajas. Lo bueno es que, en muchos casos, funciona: el software de seguridad que no espera esta técnica es fácilmente omitido. Lo complicado es que aún debe ejecutar su falso servicio de Windows, que se basa en irrumpir controladores de dominio para distribuirlo a los objetivos dentro de la red. Reiniciar en modo seguro tampoco superará el inicio de sesión de Windows, lo que en teoría le da a un usuario alertado la posibilidad de detener el cifrado.


Leave a Reply

Your email address will not be published. Required fields are marked *

More news
A
Read more »
A researcher manages to hack some concert tickets using AI
Read more »
Una nueva campaña de phishing suplanta a ChatGPT
Read more »
Nintendo suffers a data breach through a supplier
Read more »
Trying to make fun of a scammer is not a very good idea
Read more »