Malware contorna barreiras de segurança do Windows 10

De acordo com os investigadores da Sophos, que publicaram um relatório sobre a ameaça Snatch, este ransomware foi modificado recentemente de forma a ignorar com eficácia as medidas de segurança do Windows 10.

O Snatch forçará a máquina Windows infetada a reiniciar imediatamente no Modo de Segurança antes de fazer qualquer outra coisa. Os investigadores creem que a manobra serve para ignorar a segurança endpoint, incluindo software antivírus, que geralmente não é executado no Modo de Segurança. "O SophosLabs considera que assinalar a gravidade do risco representado pelo ransomware executado no Modo de Segurança não é um exagero", afirmou Andrew Brandt, investigador principal da Sophos. "Precisávamos de publicar estas informações como um aviso para a restante indústria da segurança, bem como para os clientes finais".

Num dos ataques analisados, foi possível observar um software de vigilância instalado em algumas das máquinas da rede infetada. O resgate exigido pelos ciberatacantes pode chegar a 35 mil dólares, mas o custo contínuo pode ser muito maior se esses dados roubados forem vendidos no mercado negro.

O Snatch pode ser executado na maioria das versões do Windows, desde o Windows 7 até as versões de 32 e 64 bits do Windows 10.

A Sophos recomenda que, para atenuar o risco do Snatch, as organizações se "abstenham de expor a interface RDP a redes desprotegidas" e “implementem imediatamente a autenticação multifator para utilizadores com privilégios administrativos". Embora os visados sejam, até agora, utilizadores empresariais, também os domésticos deverão tomar as mesmas medidas de precaução.

De acordo com a análise da Sophos, os atacantes por detrás deste malware chamam a si próprios “Snatch Team” em fóruns na dark web. Os posts estão escritos em russo.