FBI e CISA (Cybersecurity and Infrastructure Security Agency), attraverso un documento congiunto, hanno allertato la popolazione rispetto ai rischi legati al ransomware Snatch.
L’avvertimento fa parte dell’iniziativa #StopRansomware, che mira ad aiutare i responsabili delle aziende e delle autorità a proteggersi dalle minacce informatiche. L’attuale documento si concentra, nello specifico, si concentra su Snatch, offerto come Ransomware as a Service (RaaS) sulla Darknet dal 2018 e che, negli ultimi anni, si è rivelato una minaccia persistente e molto difficile da affrontare.
In particolare FBI e CISA sono preoccupate dal fatto che i suoi ideatori adattino continuamente le strategie di attacco alle circostanze attuali e alle tendenze della criminalità informatica. Una delle caratteristiche distintive di Snatch è la capacità di mascherarsi nei sistemi delle vittime. Per fare ciò riavvia i dispositivi in modalità provvisoria ed evita così il rilevamento da parte della maggior parte dei software antivirus.
Il ransomware Snatch è attivo dal 2018, ma riesce sempre ad adattarsi al contesto in cui si trova
Con questo modus operandi i cybercriminali possono dare uno sguardo a loro piacimento nei sistemi infetti, diffondersi ulteriormente e/o sottraendo dati sensibili. Solo allora i sistemi vengono crittografati e le vittime vengono sottoposte a pressioni, con la minaccia di pubblicare i dati rubati.
Anche la crittografia stessa distingue Snatch da altri ransomware: il malware sfruttato durante l’infezione, infatti, aggiunge una serie di caratteri esadecimali a ogni nome di file e cartella che crittografa, ottenendo così un identificatore univoco per ogni infezione.
Recenti indagini dell’FBI hanno dimostrato che il ransomware rimane molto attivo e minaccia un’ampia gamma di settori, tra cui infrastrutture critiche, industrie della difesa, contesti agricoli e società tecnologiche.
Curiosamente, rispetto ad altre campagne simili, Snatch e i suoi gestori non sembrano avere fretta: tra la prima infezione e la crittografia dei dati possono passare fino a tre mesi. Oltre alla descrizione precisa del malware adottato e del suo approccio, l’FBI e la CISA hanno pubblicato anche una serie di precauzioni per evitare attacchi di questo tipo. Inoltre, nel documento, le vittime vengono esortate a denunciare eventuali infezioni e relative richieste di riscatto.
D’altro canto i ransomware stanno diventando una minaccia sempre più grande: basti pensare alla cittadina americana che, durante questa estate, ha dovuto persino dichiarare lo stato di emergenza questo tipo di attacchi.