Por Heimdall: El ransomware Snatch, en sus operaciones, ha afectado a diversos tipos de organizaciones, de los más variados segmentos. Al parecer, el grupo lleva activo alrededor de cinco años, desde que fue identificado por primera vez, adoptando características específicas en sus ataques, como el uso de un nombre de servicio específico de Windows y el reinicio en Modo Seguro para cifrar los datos.
Por ello, presentamos un resumen de su historia, un conocimiento de los ataques realizados, modus operandi, TTPs según MITRE ATT&CK y otros detalles relevantes, como un análisis del malware que utilizan.
Acerca del ransomware Snatch
Según los registros, el ransomware Snatch apareció por primera vez en 2018 e inicialmente operaba como una forma de Ransomware-as-a-Service (RaaS). En 2019, supuestamente se cobró su primera víctima en Estados Unidos.
Originalmente, el grupo era conocido como Team Truniger, apodo de un importante miembro llamado Truniger. Este individuo actuaba como afiliado de GrandCrab. Los responsables de Snatch utilizan una variante de ransomware personalizada, que se caracteriza por reiniciar los dispositivos en modo seguro. Esto permite al ransomware evitar ser detectado por antivirus o protección de endpoints y luego cifrar archivos cuando hay pocos servicios en ejecución.
En cuanto a la etimología del nombre, el término "Snatch" se asocia a la película "Snatch" (2000). La nota de rescate contiene la dirección de correo electrónico imBoristheBlade@protonmail.com, que hace referencia al personaje de la película Boris Yurinov, apodado Boris "The Blade" o Boris "The Bullet-Dodger".
Una de las primeras variantes fue identificada en febrero de 2019, mostrando diferentes correos electrónicos con la extensión ".FileSlack" después de cifrar los archivos.
Con el tiempo, el grupo añadió sitios .onion para que las víctimas pudieran acceder a ellos y empezar a negociar el pago. Este enfoque permite al grupo de atacantes mantener un mayor anonimato y dificulta el rastreo de las transacciones. Se trata de una táctica habitual en las operaciones de ransomware, en las que los delincuentes buscan obtener rescates en criptomonedas, como Bitcoin, para liberar los archivos cifrados de las víctimas. La negociación tiene lugar a través de estos sitios ocultos en la red Tor (The Onion Router).
En esta variante, el ransomware cambió el nombre del PC a ABCDE, como se muestra en otra foto.
Además, se identificaron mensajes en el foro clandestino de la persona "BulletToothTony", que publicaba diversos tipos de anuncios. El nombre de esta persona corresponde al archivo "Snatch".
A partir de diciembre de 2019, el ransomware Snatch comenzó a reiniciar el PC para eliminar el software antivirus y cifrar archivos. Además, el componente Snatch Ransomware se instala como un servicio de Windows llamado "SuperBackupMan ", que se puede ejecutar de forma fiable en modo seguro.
La siguiente clave se escribe en el registro:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SuperBackupMan:Default:Service
Cabe destacar que SuperBackupMan no puede ser interrumpido ni pausado por el usuario durante su ejecución. A continuación, obliga a los ordenadores a reiniciarse en modo seguro para desactivar cualquier programa antivirus y cifrar los archivos.
Después de reiniciar el PC en modo seguro de Windows, el malware elimina todos los volúmenes de archivos de copia shadow para impedir que se recuperen los archivos después de que se hayan cifrado sus copias shadow.
En el siguiente paso, Snatch comienza a cifrar los archivos y puede ejecutarse en ordenadores con Windows 7, 8 y 10 (x32 y x64). Tras identificar el último evento del grupo Snatch, relacionado con la operación de reinicio, no se encontraron nuevas pruebas que añadir a su historia.
En septiembre de 2023, el FBI y el CISA publicaron una alerta sobre el grupo de ransomware, compartiendo información sobre sus operaciones que se tratará a continuación.
Informe de la operación de CISA y el FBI sobre el ransomware Snatch
La alerta explica que los actores de la amenaza Snatch han sido observados comprando datos previamente robados de otras variantes de ransomware en un intento de explotar aún más a las víctimas para que paguen un rescate y evitar que sus datos sean publicados en el blog de extorsión Snatch.
Una observación hecha por el FBI es que, desde noviembre de 2021, el sitio de extorsión que opera bajo el nombre de Snatch ha servido como centro de intercambio de datos exfiltrados o robados a empresas, ya sea en Clearnet o TOR. En agosto de 2023, unos individuos que decían estar asociados con el blog concedieron una entrevista a los medios de comunicación, afirmando que el blog no estaba asociado con el ransomware Snatch y que "ninguno de nuestros objetivos ha sido atacado por el ransomware Snatch...", a pesar de que varias víctimas confirmadas de Snatch aparecen en el blog, junto con víctimas asociadas a otros grupos de ransomware, en particular Nokoyawa y Conti.
Vale la pena señalar que los propietarios del sitio mencionado han afirmado no tener "nada que ver" con el proyecto de ransomware Snatch que surgió en 2019 y existió durante unos dos años.
Estas declaraciones fueron recogidas por DataBreaches.net, donde afirmaban que Snatch Ransomware y Security Notification Attachment eran proyectos diferentes, que habían comenzado aproximadamente un año antes (en el momento de la entrevista) y que el trabajo se mencionaba en sus sitios web. El grupo afirmó que no se trataría de Snatch Ransomware, sino de Snatch Team.
Por lo tanto, hay poca información sobre este grupo de ransomware.
Análisis de malware
El equipo de Análisis de Malware de ISH tuvo acceso al artefacto potencialmente malicioso extraído del incidente de seguridad relacionado con el ataque ransomware a una empresa de arquitectura y urbanismo, identificado con las firmas que se muestran a continuación:
Un análisis del artefacto mostró que esta variante fue compilada utilizando el lenguaje de programación GoLang, escrito para sistemas con arquitectura de 64 bits, con un tamaño de 4,5 MB (4.695.552 bytes).
Una vez realizado el análisis estático de este fichero, se ha podido comprobar que tiene una identificación de compilación en el ejecutable, obteniendo la cadena:
Go build ID: "8G4DFSWsaKldkqmLUlue/sDX85TNDTybU_g7kqpMP/W1tefjYSczGjxhDBK2X4/nL6QH1oHX9GVW0rQgGie"
Entre las funciones que utiliza este ejecutable, ejecuta la función WriteFile, que realiza operaciones para escribir nuevos ficheros, y CreateFile, que manipulan ficheros en el sistema operativo.
Después de que el análisis estático diera como resultado sólo unos pocos tipos de datos, procedimos al análisis dinámico del artefacto, con el objetivo de comprender su comportamiento real en relación con el sistema operativo.
Durante la ejecución de este artefacto, se observó la creación de archivos .bat, es decir, para ejecutar determinadas funciones y tareas en el sistema operativo. Estos archivos tienen el siguiente contenido:
El ransomware también crea la carpeta en la ruta:
C:\$SysReset
Este primer archivo corresponde a la consulta de la partición de arranque del sistema, es decir, comprueba las instrucciones del sistema operativo para arrancar.
Este archivo crea un servicio mediante Windows sc.exe. Define el nombre del servicio como "bRWukSamSs", especifica la ruta donde se encuentra el ejecutable del ransomware y, por último, el nombre que se muestra en la interfaz de usuario del servicio para su gestión, con inicio automático: "Manages security information for the wDaUSBfy user account".
El objetivo principal del artefacto es realizar los cambios para la puesta en marcha normal del sistema operativo, incluyendo el cambio de la clave de registro mediante la adición de valores al Registro utilizando:
REG ADD "HKLM\SYSTEM\CurrentSet\Control\SafeBoot\Minimal\VSS /VE /T REG_SZ /F /D ServiceREG ADD "HKLM\SYSTEM\CurrentSet\Control\SafeBoot\Minimal\bRWukSamSs /VE /T REG_SZ /F /D Service
Finalmente, después de soltar otros archivos bat, ejecuta el proceso de Windows llamado bcdedit.exe y luego fuerza al sistema operativo a reiniciarse usando el comando en un archivo batch (.bat) en modo seguro:
bcdedit.exe /set {actual} safeboot minimalshutdown /r /f /t 00
En otras palabras, en este caso, el comando restart se utiliza con los parámetros restart [r], que utiliza force [f], que obliga a terminar cualquier programa/proceso y [t], time, que define cuánto tiempo en segundos se debe reiniciar.
Al reiniciar el ordenador y tras el reinicio, esta vez en modo seguro, el malware utiliza el componente de Windows "net.exe" para interrumpir el servicio creado y, a continuación, utiliza el componente de Windows vssadmin.exe para eliminar todas las "Shadow Copies" del sistema, lo que acaba impidiendo la recuperación de los archivos cifrados.
net stop bRWukSamSsvssadmin delete shadows /all /quiet
Después de eso, comienza el proceso de encriptación de los archivos, al igual que cualquier otro tipo de Ransomware.
Por lo tanto, podemos concluir que el artefacto es efectivamente un ransomware de la familia Snatch, desarrollado y compilado en el lenguaje GoLang, con un enfoque en los sistemas operativos de 64 bits. Crea varios archivos .bat en el sistema operativo, que se enumeran en la sección Indicadores de compromiso de este informe.
No se solicitaron ni recibieron paquetes de red, y este ejecutable sólo se ejecutó en el host donde se inició.
Tras cifrar los datos, crea notas de rescate relacionadas con el ataque:
Además de los detalles mencionados, durante los incidentes se identificaron otros mandos, como:
wmiadap.exe /F /T /R %windir%\System32\svchost.eve -k WerSvcGroupconhost.exe 0xFFFFFF -ForceV1vssadmin delete shadows /all /quietbcdedit.exe /set {actual} safeboot minimalREG ADD HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\MinimalVSS /VE /T REG_SZ /F /D Servicio
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mXoRpcSsx /VE /T REG_SZ /F /D ServiceREG QUERY HKLM\SYSTEM\CurrentControlSet\Control /v SystemStartOptions%CONHOST% "1088015358-1778111623-1306428145949291561678876491840500802412316031-33820320″C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" -flag-switches-begin -flag-switches-end -no-startup-window /prefetch:5cmd /d /c cmd /d /c cmd /d /c start " " C:\Users\grade1\AppData\Local\PRETTYOCEANluvApplication\PRETTYOCEANApplicationidf.bi.
Enlaces y detalles
- Dominios de correo electrónico:
sezname[.]cz
polla[.]li
correo aéreo[.]cc
tutanota[.]com / tutamail[.]com / tuta[.]io
correo[.]fr
keemail[.]me
protonmail[.]com / proton[.]me
swisscows[.]email
- Direcciones de correo electrónico utilizadas:
imBoristheBlade@protonmail.com
jimmtheworm@dicksinmyan.us
decrypter02@cumallover.me
piterpen02@keemail.me
sn.tchnews.top@protonmail[.]me
funny385@swisscows[.]email
funny385@proton[.]me
russellrspeck@seznam[.]cz
russellrspeck@protonmail[.]com
Mailz13MoraleS@proton[.]me
datasto100@tutanota[.]com
snatch.vip@protonmail[.]com
- TOX con operadores:
CAB3D74D1DADE95B52928E4D9DFC003FF5ADB2E082F59377D049A91952E8BB3B419DB2FA9D3F
7229828E766B9058D329B2B4BC0EDDD11612CBCCFA4811532CABC76ACF703074E0D1501F8418
83E6E3CFEC0E4C8E7F7B6E01F6E86CF70AE8D4E75A59126A2C52FE9F568B4072CA78EF2B3C97
0FF26770BFAEAD95194506E6970CC1C395B04159038D785DE316F05CE6DE67324C6038727A58
- Mutexes creados en el sistema:
\Sessions\1\BaseNamedObjects\gcc-shmem-tdm2-fc_key
\Sessions\1\BaseNamedObjects\gcc-shmem-tdm2-sjlj_once
\Sessions\1\BaseNamedObjects\gcc-shmem-tdm2-use_fc_key
gcc-shmem-tdm2-fc_key
gcc-hmem-tdm2-sjlj_once
gcc-shmem-tdm2-use_fc_key
- Monedero Bitcoin
1NeXSHC2apVSiabH2QqxWLMqv2K7Z7usBX
13TvbUKYEAqwu3FP7RDu8vZhVucmUg9Zxy
- Páginas web:
hxxx//mydatassuperhero.com
hxxx//snatch6brk4nfczg.onion
hxxx://snatchh5ssxiorrn.onion y hxxx://krismalt.tk
TTPs - MITRE ATT&CK
| Tácticas | Técnica | Detalles |
| Reconocimiento TA0043 | Recoge la información de red de la víctima. T1590 | Los actores de la amenaza Snatch pueden recopilar información sobre las redes de la víctima que puede utilizarse durante la selección de objetivos. |
| Desarrollo de recursos TA0042 | Adquirir infraestructura: Servidor Virtual T1583.003 | Los actores de Snatch pueden alquilar servidores privados virtuales (VPS) que pueden utilizarse durante el ataque. Los agentes adquieren infraestructura de proveedores de servicios VPS conocidos por alquilar VPS con información de registro mínima, lo que permite una adquisición de infraestructura más anónima. |
| Acceso inicial TA0001 | Cuentas válidas T1078 | Los actores utilizan credenciales de usuario comprometidas de foros/mercados delictivos para obtener acceso y mantener la persistencia en la red de la víctima. |
| Servicios remotos externos T1133 | Los agentes de secuestro aprovechan las debilidades de RDP para obtener por fuerza bruta las credenciales de administrador de la red de la organización víctima. Los agentes utilizan servicios VPN para conectarse a la red de la víctima. | |
| Ejecución TA0002 | Intérprete de comandos y scripts: Shell de comandos de Windows T1059.003 | Los actores de Snatch utilizan archivos por lotes (.bat) durante la ejecución del ransomware y el descubrimiento de datos. |
| Servicios del sistema: ejecución de servicios T1569.002 | Los actores del secuestro pueden aprovechar varias herramientas de Windows para enumerar los sistemas en la red de la víctima utilizando "sc.exe". | |
| Persistencia TA0003 | Cuentas válidas: Cuentas de dominio. T1078.002 | Los actores del secuestro comprometen cuentas de dominio para mantener la persistencia en la red de la víctima. |
| Defensa Evasión TA0004 | Enmascaramiento T1036 | Los actores de Snatch hacen que el ejecutable del ransomware coincida con el hash SHA-256 de un archivo legítimo para evitar la detección basada en reglas. |
| Supresión del indicador: Supresión del fichero T1070.004 | Los actores de Snatch eliminan los archivos por lotes del sistema de archivos de la víctima en cuanto finaliza la ejecución. | |
| Modificar registros. T1112 | Los actores de amenazas modifican las claves del Registro de Windows para facilitar su persistencia y ejecución. | |
| Dañar defensas: inutilizar o modificar herramientas T1562.001 | Los autores de la amenaza intentaron desactivar el programa antivirus de un sistema para permitir que el ransomware persistiera y se ejecutara. |
| Dañando las defensas: Reiniciando en modo seguro. T1562.009 | Los agentes han abusado del modo seguro de Windows para eludir la detección por parte de los antivirus o la protección de puntos finales y cifrar archivos cuando hay pocos servicios en ejecución. | |
| Acceso a las credenciales TA0006 | Fuerza bruta: adivinar contraseña T1110.001 | Los actores del secuestro utilizan la fuerza bruta para obtener las credenciales de administrador de la red de la víctima. |
| Descubrimiento TA0007 | Consultar los registros T1012 | Los actores pueden interactuar con el registrador de Windows para recopilar información sobre la configuración del sistema y el software instalado. |
| Descubrimiento de procesos T1057 | Los actores de amenazas buscan información sobre los procesos que se ejecutan en un sistema. | |
| Movimiento lateral TA0008 | Servicios Remotos: Protocolo de escritorio T1021.001 | Los actores de amenazas pueden utilizar cuentas válidas para iniciar sesión en un ordenador mediante el protocolo de escritorio remoto. |
| Colección TA0009 | Datos del sistema local T1005 | Sistemas de búsqueda de agentes de amenazas de captura para encontrar archivos y carpetas de interés antes de la exfiltración. |
| Mando y control TA0011 | Protocolos de lecho de aplicación: protocolos web T1071.001 | Los actores de amenazas establecen conexiones a través del puerto 443 para combinar el tráfico C2 con otro tráfico web. |
| Exfiltración TA0010 | Exfiltración TA0010 | Los actores de Snatch utilizan la técnica de exfiltración para robar datos de la red de la víctima. |
| Impacto TA0040 | Datos encriptados por impacto. T1486 | Los actores de la amenaza han cifrado datos en el sistema objetivo o en un gran número de sistemas de una red para interrumpir la disponibilidad de los recursos del sistema y de la red. |
| Inhibe la recuperación del sistema. T1490 | Los agentes de la amenaza Snatch eliminan todas las instantáneas de volumen del sistema de archivos de la víctima para impedir la recuperación del sistema. |
Referencias
- Heimdall de ISH Tecnologia
- Informe del FBI - Ransomware Snatch publicado en septiembre-2023