Por Heimdall: O Ransomware Snatch, em suas operações, afetou diversos tipos de organizações, dos mais variados segmentos. O grupo aparentemente está ativo há aproximadamente 5 anos desde a sua primeira identificação, adotando características específicas em seus ataques, como a utilização de um nome de serviço do Windows específico e a reinicialização do Modo de Segurança para realizar a criptografia dos dados.
Diante disso, apresentamos um resumo de sua história, entendimento sobre os ataques realizados, modus operandi, TTPs de acordo com o MITRE ATT&CK e outros detalhes relevantes, como uma análise do malware utilizado por eles.
Sobre o Ransomware Snatch
De acordo com os registros, o ransomware Snatch surgiu pela primeira vez em 2018 e inicialmente operava como uma forma de Ransomware-as-a-Service (RaaS). Em 2019, alegadamente reivindicou sua primeira vítima nos EUA.
Originalmente, o grupo era conhecido como Team Truniger, um apelido de um membro importante chamado Truniger. Esse indivíduo atuava como afiliado do GrandCrab. Os atores por trás do Snatch utilizam uma variante de ransomware personalizada, notável por reiniciar dispositivos no modo de segurança. Isso permite que o ransomware evite a detecção por antivírus ou proteção de endpoint e, em seguida, criptografe os arquivos quando poucos serviços estão em execução.
Quanto à etimologia do nome, o termo “Snatch” está associado ao filme “Snatch” (2000). A nota de resgate contém o endereço de e-mail imBoristheBlade@protonmail.com, que remete ao personagem do filme chamado Boris Yurinov, apelidado de Boris “The Blade” ou Boris “The Bullet-Dodger”.
Uma das primeiras variantes foi identificada em fevereiro de 2019, apresentando os e-mails distintos e com a extensão “.FileSlack” após criptografar os arquivos.
Com o passar do tempo, o grupo adicionou sites .onion para que as vítimas pudessem acessá-los e iniciar a negociação do pagamento. Essa abordagem permite que o grupo de atacantes mantenha maior anonimato e dificulte o rastreamento das transações. É uma tática comum em operações de ransomware, onde os criminosos buscam obter resgates em criptomoedas, como o Bitcoin, para liberar os arquivos criptografados das vítimas. A negociação ocorre por meio desses sites ocultos na rede Tor (The Onion Router).
Nesta variante, o ransomware trocava o nome do PC por ABCDE, como evidenciado em outra foto.
Além disso, foram identificadas mensagens no fórum underground da persona “BulletToothTony”, que publicava vários tipos de anúncios. O nome dessa persona corresponde ao arquivo do “Snatch”.
A partir de dezembro de 2019, o ransomware Snatch começou a reiniciar o PC para remover o software antivírus e criptografar os arquivos. Além disso, o componente do Snatch Ransomware é instalado como um serviço do Windows chamado “SuperBackupMan”, que pode ser executado de forma confiável no Modo de Segurança.
A seguinte chave está escrita no registro:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SuperBackupMan:Default:Service
Vale ressaltar que o SuperBackupMan não pode ser interrompido ou pausado pelo usuário durante a sua execução. Em seguida, ele força os computadores a reiniciarem no Modo de Segurança para desabilitar qualquer programa antivírus e criptografar arquivos.
Após a reinicialização do PC no Modo de Segurança do Windows, o malware exclui todos os volumes de arquivos de cópia de sombra para evitar que os arquivos sejam recuperados depois que suas cópias de sombra forem criptografadas.
Na próxima etapa, o Snatch começa a criptografar os arquivos, podendo ser executado em computadores com Windows 7, 8 e 10 (x32 e x64). Após a identificação do último evento do grupo Snatch, relacionado à operação de reinicialização, não foram encontradas novas evidências que permitissem adicionar mais à sua história.
Em setembro de 2023, o FBI e a CISA publicaram um alerta sobre o grupo de ransomware, compartilhando informações sobre suas operações que serão abordadas abaixo.
Relatório de Operação da CISA e FBI sobre o Ransomware Snatch
O alerta explica que os agentes de ameaças Snatch foram observados comprando dados previamente roubados de outras variantes de ransomware, na tentativa de explorar ainda mais as vítimas para que paguem um resgate e evitem que seus dados sejam divulgados no blog de extorsão do Snatch.
Uma observação feita pelo FBI é que, desde novembro de 2021, o site de extorsão operando sob o nome de Snatch tem servido como câmara de compensação para dados exfiltrados ou roubados de empresas, seja na Clearnet ou na TOR. Em agosto de 2023, indivíduos que afirmavam estar associados ao blog deram uma entrevista à mídia, alegando que o blog não estava associado ao ransomware Snatch e que “nenhum de nossos alvos foi atacado pelo Ransomware Snatch…”, apesar de vários dados confirmados de vítimas do Snatch aparecerem no blog, juntamente com vítimas associadas a outros grupos de ransomware, notadamente Nokoyawa e Conti.
Vale salientar que os proprietários do site mencionado acima afirmaram não ter “nada a ver” com o projeto Snatch ransomware que surgiu em 2019 e existiu durante cerca de 2 anos.
Tais declarações foram coletadas pelo DataBreaches.net, onde afirmaram que o Snatch Ransomware e o Security Notification Attachment seriam projetos diferentes, os quais teriam começado aproximadamente um ano antes (na época da entrevista), e o trabalho estaria mencionado em seus sites. O grupo afirmou que não seria o Ransomware Snatch, mas sim o Snatch Team.
Portanto, existem poucas informações referentes a esse grupo de ransomware.
Análise do malware
A equipe de Análise de Malware da ISH obteve acesso ao artefato potencialmente malicioso extraído do incidente de segurança relacionado ao ataque de ransomware de uma empresa de arquitetura e urbanismo, identificado com as assinaturas abaixo:
Em análise do artefato, foi possível verificar que esta variante foi compilada utilizando-se da linguagem de programação GoLang, escrita para sistemas de arquitetura de 64 bits, com tamanho de 4,5 MB (4.695.552 bytes).
Realizada a análise estática do referido arquivo, foi possível verificar que ele possui uma identificação de compilação no executável, obtendo a string:
Go build ID: “8G4DFSWsaKldkqmLUlue/sDX85TNDTybU_g7kqpMP/W1tefjYSczGjxhDBK2X4/nL6QH1oHX9GVW0rQgGie”
Dentro das funções que o referido executável utiliza, ele executa a função WriteFile, que realiza operações de escrita de novos arquivos, e CreateFile, ambas manipulando arquivos no sistema operacional.
Após a análise estática resultar em apenas alguns tipos de dados, procedeu-se à análise dinâmica do artefato, visando entender o real comportamento do artefato junto ao sistema operacional.
Durante a execução do referido artefato, observou-se a criação de arquivos do tipo .bat, ou seja, para executar algumas funções e tarefas no sistema operacional. Os referidos arquivos possuem o conteúdo:
O ransomware também realiza a criação da pasta no caminho:
C:\$SysReset
Este primeiro arquivo corresponde à consulta à partição de inicialização do sistema, ou seja, ele verifica as instruções do sistema operacional para a inicialização.
Este arquivo realiza a criação de um serviço utilizando o sc.exe do Windows. Ele define o nome do serviço como “bRWukSamSs”, especifica o caminho onde está localizado o executável do Ransomware e, por fim, o nome apresentado na interface do usuário de serviços para gerenciamento, com a inicialização automática: “Gerencia as informações de segurança da conta do usuário wDaUSBfy”.
O foco principal do artefato é realizar as alterações para a inicialização normal do sistema operacional, inclusive alterando a chave de registro através da adição de valores no Registro utilizando:
REG ADD “HKLM\SYSTEM\CurrentSet\Control\SafeBoot\Minimal\VSS /VE /T REG_SZ /F /D ServiceREG ADD “HKLM\SYSTEM\CurrentSet\Control\SafeBoot\Minimal\bRWukSamSs /VE /T REG_SZ /F /D Service
Por fim, após realizar o drop de outros arquivos bat, este executa o processo denominado bcdedit.exe do Windows e posteriormente força o sistema operacional a se reinicializar por meio do comando em arquivo em lote (.bat) no modo de segurança:
bcdedit.exe /set {current} safeboot minimalshutdown /r /f /t 00
Ou seja, neste caso, é utilizado o comando de restart com os parâmetros de reiniciar [r], utilizando-se force [f], o qual força quaisquer programas/processos a serem obrigatoriamente finalizados e [t], de tempo, o qual define quanto tempo em segundos para reinicializar.
Quando o computador é reiniciado e após a reinicialização, desta vez no modo de segurança, o malware utiliza o componente “net.exe” do Windows para interromper o serviço criado e, em seguida, usa o componente vssadmin.exe do Windows para excluir todas as “Cópias de Sombras” (Shadow Copies) no sistema, o que acaba impedindo a recuperação dos arquivos criptografados.
net stop bRWukSamSsvssadmin delete shadows /all /quiet
Após isso, inicia-se o processo de criptografia dos arquivos, como em qualquer outro tipo de Ransomware.
Portanto, podemos concluir que o artefato efetivamente é um Ransomware da família Snatch, desenvolvido e compilado na linguagem GoLang, com foco em sistemas operacionais de 64 bits. Ele realiza a criação de diversos arquivos .bat no sistema operacional, os quais estão listados na seção de Indicadores de Comprometimento deste relatório.
Não foram observadas requisições ou recebimento de pacotes de rede, sendo este executável executado apenas no host em que teve seu início.
Após a criptografia dos dados, ele cria notas de resgate relacionadas ao ataque:
Além dos detalhes mencionados, outros comandos foram identificados durante os incidentes, tais como:
wmiadap.exe /F /T /R %windir%\System32\svchost.eve –k WerSvcGroupconhost.exe 0xFFFFFFFF -ForceV1vssadmin delete shadows /all /quietbcdedit.exe /set {current} safeboot minimalREG ADD HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VSS /VE /T REG_SZ /F /D Service
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mXoRpcSsx /VE /T REG_SZ /F /D ServiceREG QUERY HKLM\SYSTEM\CurrentControlSet\Control /v SystemStartOptions%CONHOST% “1088015358-1778111623-1306428145949291561678876491840500802412316031-33820320″C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe” –flag-switches-begin –flag-switches-end –no-startup-window /prefetch:5cmd /d /c cmd /d /c cmd /d /c start ” ” C:\Users\grade1\AppData\Local\PRETTYOCEANluvApplication\PRETTYOCEANApplicationidf.bi.
Links e detalhes
- Domínios de e-mails:
sezname[.]cz
cock[.]li
airmail[.]cc
tutanota[.]com / tutamail[.]com / tuta[.]io
mail[.]fr
keemail[.]me
protonmail[.]com / proton[.]me
swisscows[.]email
- E-mails utilizados:
imBoristheBlade@protonmail.com
jimmtheworm@dicksinmyan.us
decrypter02@cumallover.me
piterpen02@keemail.me
sn.tchnews.top@protonmail[.]me
funny385@swisscows[.]email
funny385@proton[.]me
russellrspeck@seznam[.]cz
russellrspeck@protonmail[.]com
Mailz13MoraleS@proton[.]me
datasto100@tutanota[.]com
snatch.vip@protonmail[.]com
- Ids de TOX com os operadores:
CAB3D74D1DADE95B52928E4D9DFC003FF5ADB2E082F59377D049A91952E8BB3B419DB2FA9D3F
7229828E766B9058D329B2B4BC0EDDD11612CBCCFA4811532CABC76ACF703074E0D1501F8418
83E6E3CFEC0E4C8E7F7B6E01F6E86CF70AE8D4E75A59126A2C52FE9F568B4072CA78EF2B3C97
0FF26770BFAEAD95194506E6970CC1C395B04159038D785DE316F05CE6DE67324C6038727A58
- Mutexes criados no sistema:
\Sessions\1\BaseNamedObjects\gcc-shmem-tdm2-fc_key
\Sessions\1\BaseNamedObjects\gcc-shmem-tdm2-sjlj_once
\Sessions\1\BaseNamedObjects\gcc-shmem-tdm2-use_fc_key
gcc-shmem-tdm2-fc_key
gcc-hmem-tdm2-sjlj_once
gcc-shmem-tdm2-use_fc_key
- Carteira Bitcoin
1NeXSHC2apVSiabH2QqxWLMqv2K7Z7usBX
13TvbUKYEAqwu3FP7RDu8vZhVucmUg9Zxy
- Sites:
hxxx//mydatassuperhero.com
hxxx//snatch6brk4nfczg.onion
hxxx://snatchh5ssxiorrn.onion e hxxx://krismalt.tk
TTPs – MITRE ATT&CK
Tática | Técnica | Detalhes |
Reconhecimento TA0043 | Reúne as informações de rede da vítima. T1590 | Os atores de ameaça do Snatch podem coletar informações sobre as redes da vítima que podem ser usadas durante a segmentação. |
Desenvolvimento de Recursos TA0042 | Adquirir infraestrutura: Servidor Virtual Privado T1583.003 | Os atores do Snatch podem alugar servidores virtuais privados (VPSs) que podem ser usados durante a segmentação. Os agentes adquirem a infraestrutura de provedores de serviços VPS conhecidos por alugar VPSs com informações mínimas de registros, permitindo a aquisição mais anônimas de infraestrutura. |
Acesso Inicial TA0001 | Contas Válidas T1078 | Os atores utilizam credenciais de usuários comprometidas de fóruns/mercados criminosos para obter acesso e manter a persistência na rede da vítima. |
Serviços Remotos Externos T1133 | Os agentes do Snatch exploram pontos fracos do RDP para executar força bruta e obter credenciais de administradores para a rede da organização vítima. Os atores usam serviços VPN para se conectar à rede da vítima. | |
Execução TA0002 | Comando e Interpretador de Script: Shell de Comando do Windows T1059.003 | Os atores do Snatch utilizam arquivos em lote (.bat) durante a execução do ransomware e descoberta de dados. |
Serviços do Sistema: Execução de Serviços T1569.002 | Os atores do Snatch podem aproveitar de várias ferramentas do Windows para enumerar sistemas na rede da vítima, usando o “sc.exe”. | |
Persistência TA0003 | Contas válidas: Contas de domínios. T1078.002 | Os atores do Snatch comprometem as contas de domínio para manter a persistência na rede da vítima. |
Evasão de Defesa TA0004 | Mascaramento T1036 | Os atores do Snatch fazem com que o executável do ransomware corresponda ao hash SHA-256 de um arquivo legítimo para evitar a detecção baseada em regras. |
Remoção do indicador: Exclusõ de Arquivo T1070.004 | Os atores do Snatch excluem arquivos em lote de um sistema de arquivos da vítima assim que a execução for concluída. | |
Modifica registros. T1112 | Os agentes de ameaças modificam as chaves de Registro do Windows para ajudar na persistência e na execução. | |
Prejudicar defesas: Desativar ou Modificar ferramentas T1562.001 | Os atores de ameaças tentaram desabilitar o programa antivírus de um sistema para permitir a persistência e a execução do ransomware. |
Prejudicar defesas: Reiniciar no modo de segurança. T1562.009 | Os agentes abusaram do Modo de Segurança do Windows para contornar a detecção por antivírus ou proteção de endpoint e criptografar arquivos quando poucos serviços estão em execução. | |
Acesso a Credenciais TA0006 | Brute Force: Advinhação de senhas T1110.001 | Os atores do Snatch usam brute force para obter credenciais de administrador para a rede da vítima. |
Descoberta TA0007 | Consulta registros T1012 | Os atores podem interagir com o Registor do Windows para coletar informações sobre o sistema de configuração e software instalado. |
Descoberta de processos T1057 | Os atores de ameaça procuram informações sobre os processos em execução em um sistema. | |
Movimentação Lateral TA0008 | Serviços Remotos: Protocolo da Área de Trabalho T1021.001 | Os atores de ameaça podem usar contas válidas para fazer o login em um computador usando o protocolo de área de trabalho remota. |
Coleta TA0009 | Dados do sistema local T1005 | Capture sistemas de pesquisa de agentes de ameaças para encontrar arquivos e pastas de interesses antes da exfiltração. |
Comando e Controle TA0011 | Protocolos da camaa de aplicação: Protocolos da Web T1071.001 | Os atores de ameaça estabelecem conexões pela porta 443 para combinar tráfego C2 com outro tráfego da web. |
Exfiltração TA0010 | Exfiltração TA0010 | Os atores do Snatch realizam o uso da tecnica de exfiltração para roubar dados da rede da vítima. |
Impacto TA0040 | Dados criptografados para impacto. T1486 | Os agentes de ameaças criptograram dados em sistema alvo ou em um grande número de sistemas em uma rede para interromper a disponibilidade dos recursos do sistema e da rede. |
Inibir a recuperação do sistema. T1490 | Os agentes de ameça Snatch excluem todas as cópias de sombra de volume do sistema de arquivos da vítima para inibir a recuperação do sistema. |
Referências
- Heimdall by ISH Tecnologia
- Relatório do FBI – Ransomware Snatch publicado em Setembro-2023