Snatch: ransomware criptografa arquivos e consegue evitar detecção pelo antivírus. Saiba detalhes sobre sua operação

Por Heimdall: O Ransomware Snatch, em suas operações, afetou diversos tipos de organizações, dos mais variados segmentos. O grupo aparentemente está ativo há aproximadamente 5 anos desde a sua primeira identificação, adotando características específicas em seus ataques, como a utilização de um nome de serviço do Windows específico e a reinicialização do Modo de Segurança para realizar a criptografia dos dados.

Diante disso, apresentamos um resumo de sua história, entendimento sobre os ataques realizados, modus operandi, TTPs de acordo com o MITRE ATT&CK e outros detalhes relevantes, como uma análise do malware utilizado por eles.

Sobre o Ransomware Snatch

De acordo com os registros, o ransomware Snatch surgiu pela primeira vez em 2018 e inicialmente operava como uma forma de Ransomware-as-a-Service (RaaS). Em 2019, alegadamente reivindicou sua primeira vítima nos EUA.

Originalmente, o grupo era conhecido como Team Truniger, um apelido de um membro importante chamado Truniger. Esse indivíduo atuava como afiliado do GrandCrab. Os atores por trás do Snatch utilizam uma variante de ransomware personalizada, notável por reiniciar dispositivos no modo de segurança. Isso permite que o ransomware evite a detecção por antivírus ou proteção de endpoint e, em seguida, criptografe os arquivos quando poucos serviços estão em execução.

Quanto à etimologia do nome, o termo “Snatch” está associado ao filme “Snatch” (2000). A nota de resgate contém o endereço de e-mail imBoristheBlade@protonmail.com, que remete ao personagem do filme chamado Boris Yurinov, apelidado de Boris “The Blade” ou Boris “The Bullet-Dodger”.

Personagem do filme Boris

Uma das primeiras variantes foi identificada em fevereiro de 2019, apresentando os e-mails distintos e com a extensão “.FileSlack” após criptografar os arquivos.

Modelo de nota de resgate das primeiras variantes

Com o passar do tempo, o grupo adicionou sites .onion para que as vítimas pudessem acessá-los e iniciar a negociação do pagamento. Essa abordagem permite que o grupo de atacantes mantenha maior anonimato e dificulte o rastreamento das transações. É uma tática comum em operações de ransomware, onde os criminosos buscam obter resgates em criptomoedas, como o Bitcoin, para liberar os arquivos criptografados das vítimas. A negociação ocorre por meio desses sites ocultos na rede Tor (The Onion Router).

Site apresentado do Snatch
Função para teste de descriptografia de arquivos

Nesta variante, o ransomware trocava o nome do PC por ABCDE, como evidenciado em outra foto.

Além disso, foram identificadas mensagens no fórum underground da persona “BulletToothTony”, que publicava vários tipos de anúncios. O nome dessa persona corresponde ao arquivo do “Snatch”.

Possível persona identificada em fóruns do underground
Possível persona identificada em fóruns do underground

A partir de dezembro de 2019, o ransomware Snatch começou a reiniciar o PC para remover o software antivírus e criptografar os arquivos. Além disso, o componente do Snatch Ransomware é instalado como um serviço do Windows chamado “SuperBackupMan”, que pode ser executado de forma confiável no Modo de Segurança.

Serviço instalado pelo SuperBackupMan

A seguinte chave está escrita no registro:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SuperBackupMan:Default:Service

Vale ressaltar que o SuperBackupMan não pode ser interrompido ou pausado pelo usuário durante a sua execução. Em seguida, ele força os computadores a reiniciarem no Modo de Segurança para desabilitar qualquer programa antivírus e criptografar arquivos.

Após a reinicialização do PC no Modo de Segurança do Windows, o malware exclui todos os volumes de arquivos de cópia de sombra para evitar que os arquivos sejam recuperados depois que suas cópias de sombra forem criptografadas.

Na próxima etapa, o Snatch começa a criptografar os arquivos, podendo ser executado em computadores com Windows 7, 8 e 10 (x32 e x64). Após a identificação do último evento do grupo Snatch, relacionado à operação de reinicialização, não foram encontradas novas evidências que permitissem adicionar mais à sua história.

Em setembro de 2023, o FBI e a CISA publicaram um alerta sobre o grupo de ransomware, compartilhando informações sobre suas operações que serão abordadas abaixo.

Relatório de Operação da CISA e FBI sobre o Ransomware Snatch

O alerta explica que os agentes de ameaças Snatch foram observados comprando dados previamente roubados de outras variantes de ransomware, na tentativa de explorar ainda mais as vítimas para que paguem um resgate e evitem que seus dados sejam divulgados no blog de extorsão do Snatch.

Uma observação feita pelo FBI é que, desde novembro de 2021, o site de extorsão operando sob o nome de Snatch tem servido como câmara de compensação para dados exfiltrados ou roubados de empresas, seja na Clearnet ou na TOR. Em agosto de 2023, indivíduos que afirmavam estar associados ao blog deram uma entrevista à mídia, alegando que o blog não estava associado ao ransomware Snatch e que “nenhum de nossos alvos foi atacado pelo Ransomware Snatch…”, apesar de vários dados confirmados de vítimas do Snatch aparecerem no blog, juntamente com vítimas associadas a outros grupos de ransomware, notadamente Nokoyawa e Conti.

Página principal do grupo de Ransomware Snatch na rede Tor

Vale salientar que os proprietários do site mencionado acima afirmaram não ter “nada a ver” com o projeto Snatch ransomware que surgiu em 2019 e existiu durante cerca de 2 anos.

Tais declarações foram coletadas pelo DataBreaches.net, onde afirmaram que o Snatch Ransomware e o Security Notification Attachment seriam projetos diferentes, os quais teriam começado aproximadamente um ano antes (na época da entrevista), e o trabalho estaria mencionado em seus sites. O grupo afirmou que não seria o Ransomware Snatch, mas sim o Snatch Team.

Portanto, existem poucas informações referentes a esse grupo de ransomware.

Análise do malware

A equipe de Análise de Malware da ISH obteve acesso ao artefato potencialmente malicioso extraído do incidente de segurança relacionado ao ataque de ransomware de uma empresa de arquitetura e urbanismo, identificado com as assinaturas abaixo:

Indicadores de Comprometimento do malware

Em análise do artefato, foi possível verificar que esta variante foi compilada utilizando-se da linguagem de programação GoLang, escrita para sistemas de arquitetura de 64 bits, com tamanho de 4,5 MB (4.695.552 bytes).

Informações do cabeçalho PE do executável
Informações do cabeçalho PE do executável

Realizada a análise estática do referido arquivo, foi possível verificar que ele possui uma identificação de compilação no executável, obtendo a string:

Go build ID: “8G4DFSWsaKldkqmLUlue/sDX85TNDTybU_g7kqpMP/W1tefjYSczGjxhDBK2X4/nL6QH1oHX9GVW0rQgGie” 

String identificada em texto ASCII

Dentro das funções que o referido executável utiliza, ele executa a função WriteFile, que realiza operações de escrita de novos arquivos, e CreateFile, ambas manipulando arquivos no sistema operacional.

Após a análise estática resultar em apenas alguns tipos de dados, procedeu-se à análise dinâmica do artefato, visando entender o real comportamento do artefato junto ao sistema operacional.

Durante a execução do referido artefato, observou-se a criação de arquivos do tipo .bat, ou seja, para executar algumas funções e tarefas no sistema operacional. Os referidos arquivos possuem o conteúdo:

Conteúdo do arquivo consultando informações de inicialização

O ransomware também realiza a criação da pasta no caminho:

C:\$SysReset

Este primeiro arquivo corresponde à consulta à partição de inicialização do sistema, ou seja, ele verifica as instruções do sistema operacional para a inicialização.

Conteúdo do arquivo criando um serviço denominado bRWukSamSs

Este arquivo realiza a criação de um serviço utilizando o sc.exe do Windows. Ele define o nome do serviço como “bRWukSamSs”, especifica o caminho onde está localizado o executável do Ransomware e, por fim, o nome apresentado na interface do usuário de serviços para gerenciamento, com a inicialização automática:  “Gerencia as informações de segurança da conta do usuário wDaUSBfy”.

O foco principal do artefato é realizar as alterações para a inicialização normal do sistema operacional, inclusive alterando a chave de registro através da adição de valores no Registro utilizando:

REG ADD “HKLM\SYSTEM\CurrentSet\Control\SafeBoot\Minimal\VSS /VE /T REG_SZ /F /D ServiceREG ADD “HKLM\SYSTEM\CurrentSet\Control\SafeBoot\Minimal\bRWukSamSs /VE /T REG_SZ /F /D Service

Por fim, após realizar o drop de outros arquivos bat, este executa o processo denominado bcdedit.exe do Windows e posteriormente força o sistema operacional a se reinicializar por meio do comando em arquivo em lote (.bat) no modo de segurança:

bcdedit.exe /set {current} safeboot minimalshutdown /r /f /t 00

Ou seja, neste caso, é utilizado o comando de restart com os parâmetros de reiniciar [r], utilizando-se force [f], o qual força quaisquer programas/processos a serem obrigatoriamente finalizados e [t], de tempo, o qual define quanto tempo em segundos para reinicializar.

Quando o computador é reiniciado e após a reinicialização, desta vez no modo de segurança, o malware utiliza o componente “net.exe” do Windows para interromper o serviço criado e, em seguida, usa o componente vssadmin.exe do Windows para excluir todas as “Cópias de Sombras” (Shadow Copies) no sistema, o que acaba impedindo a recuperação dos arquivos criptografados.

net stop bRWukSamSsvssadmin delete shadows /all /quiet

Após isso, inicia-se o processo de criptografia dos arquivos, como em qualquer outro tipo de Ransomware.

 Portanto, podemos concluir que o artefato efetivamente é um Ransomware da família Snatch, desenvolvido e compilado na linguagem GoLang, com foco em sistemas operacionais de 64 bits. Ele realiza a criação de diversos arquivos .bat no sistema operacional, os quais estão listados na seção de Indicadores de Comprometimento deste relatório.

Não foram observadas requisições ou recebimento de pacotes de rede, sendo este executável executado apenas no host em que teve seu início.

Após a criptografia dos dados, ele cria notas de resgate relacionadas ao ataque:

Nota de resgate do Ransomware Snatch

Além dos detalhes mencionados, outros comandos foram identificados durante os incidentes, tais como:

wmiadap.exe /F /T /R %windir%\System32\svchost.eve –k WerSvcGroupconhost.exe 0xFFFFFFFF -ForceV1vssadmin delete shadows /all /quietbcdedit.exe /set {current} safeboot minimalREG ADD HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VSS /VE /T REG_SZ /F /D Service

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mXoRpcSsx /VE /T REG_SZ /F /D ServiceREG QUERY HKLM\SYSTEM\CurrentControlSet\Control /v SystemStartOptions%CONHOST% “1088015358-1778111623-1306428145949291561678876491840500802412316031-33820320″C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe” –flag-switches-begin –flag-switches-end –no-startup-window /prefetch:5cmd /d /c cmd /d /c cmd /d /c start ” ” C:\Users\grade1\AppData\Local\PRETTYOCEANluvApplication\PRETTYOCEANApplicationidf.bi. 

Links e detalhes

  • Domínios de e-mails:

sezname[.]cz

cock[.]li

airmail[.]cc

tutanota[.]com / tutamail[.]com / tuta[.]io

mail[.]fr

keemail[.]me

protonmail[.]com / proton[.]me

swisscows[.]email

  • E-mails utilizados:

imBoristheBlade@protonmail.com

jimmtheworm@dicksinmyan.us

decrypter02@cumallover.me

piterpen02@keemail.me

sn.tchnews.top@protonmail[.]me

funny385@swisscows[.]email

funny385@proton[.]me

russellrspeck@seznam[.]cz

russellrspeck@protonmail[.]com

Mailz13MoraleS@proton[.]me

datasto100@tutanota[.]com

snatch.vip@protonmail[.]com

  • Ids de TOX com os operadores:

CAB3D74D1DADE95B52928E4D9DFC003FF5ADB2E082F59377D049A91952E8BB3B419DB2FA9D3F

7229828E766B9058D329B2B4BC0EDDD11612CBCCFA4811532CABC76ACF703074E0D1501F8418

83E6E3CFEC0E4C8E7F7B6E01F6E86CF70AE8D4E75A59126A2C52FE9F568B4072CA78EF2B3C97

0FF26770BFAEAD95194506E6970CC1C395B04159038D785DE316F05CE6DE67324C6038727A58

  • Mutexes criados no sistema:

\Sessions\1\BaseNamedObjects\gcc-shmem-tdm2-fc_key

\Sessions\1\BaseNamedObjects\gcc-shmem-tdm2-sjlj_once

\Sessions\1\BaseNamedObjects\gcc-shmem-tdm2-use_fc_key

gcc-shmem-tdm2-fc_key

gcc-hmem-tdm2-sjlj_once

gcc-shmem-tdm2-use_fc_key 

  • Carteira Bitcoin

1NeXSHC2apVSiabH2QqxWLMqv2K7Z7usBX

13TvbUKYEAqwu3FP7RDu8vZhVucmUg9Zxy

  • Sites:

hxxx//mydatassuperhero.com

hxxx//snatch6brk4nfczg.onion

hxxx://snatchh5ssxiorrn.onion e hxxx://krismalt.tk

TTPs – MITRE ATT&CK

TáticaTécnicaDetalhes
Reconhecimento   TA0043Reúne as informações de rede da vítima.   T1590Os atores de ameaça do Snatch podem coletar informações sobre as redes da vítima que podem ser usadas durante a segmentação.
Desenvolvimento de Recursos   TA0042Adquirir infraestrutura: Servidor Virtual Privado   T1583.003Os atores do Snatch podem alugar servidores virtuais privados (VPSs) que podem ser usados durante a segmentação.   Os agentes adquirem a infraestrutura de provedores de serviços VPS conhecidos por alugar VPSs com informações mínimas de registros, permitindo a aquisição mais anônimas de infraestrutura.
Acesso Inicial   TA0001Contas Válidas   T1078Os atores utilizam credenciais de usuários comprometidas de fóruns/mercados criminosos para obter acesso e manter a persistência na rede da vítima.
Serviços Remotos Externos T1133Os agentes do Snatch exploram pontos fracos do RDP para executar força bruta e obter credenciais de administradores para a rede da organização vítima.   Os atores usam serviços VPN para se conectar à rede da vítima.
Execução   TA0002Comando e Interpretador de Script: Shell de Comando do Windows   T1059.003Os atores do Snatch utilizam arquivos em lote (.bat) durante a execução do ransomware e descoberta de dados.
Serviços do Sistema: Execução de Serviços   T1569.002Os atores do Snatch podem aproveitar de várias ferramentas do Windows para enumerar sistemas na rede da vítima, usando o “sc.exe”.
Persistência   TA0003Contas válidas: Contas de domínios.   T1078.002Os atores do Snatch comprometem as contas de domínio para manter a persistência na rede da vítima.
Evasão de Defesa   TA0004Mascaramento   T1036Os atores do Snatch fazem com que o executável do ransomware corresponda ao hash SHA-256 de um arquivo legítimo para evitar a detecção baseada em regras.
Remoção do indicador: Exclusõ de Arquivo   T1070.004Os atores do Snatch excluem arquivos em lote de um sistema de arquivos da vítima assim que a execução for concluída.
Modifica registros.   T1112Os agentes de ameaças modificam as chaves de Registro do Windows para ajudar na persistência e na execução.
Prejudicar defesas: Desativar ou Modificar ferramentas   T1562.001Os atores de ameaças tentaram desabilitar o programa antivírus de um sistema para permitir a persistência e a execução do ransomware.
 Prejudicar defesas: Reiniciar no modo de segurança.   T1562.009Os agentes abusaram do Modo de Segurança do Windows para contornar a detecção por antivírus ou proteção de endpoint e criptografar arquivos quando poucos serviços estão em execução.
Acesso a Credenciais   TA0006Brute Force: Advinhação de senhas   T1110.001Os atores do Snatch usam brute force para obter credenciais de administrador para a rede da vítima.
Descoberta   TA0007Consulta registros   T1012Os atores podem interagir com o Registor do Windows para coletar informações sobre o sistema de configuração e software instalado.
Descoberta de processos   T1057Os atores de ameaça procuram informações sobre os processos em execução em um sistema.
Movimentação Lateral   TA0008Serviços Remotos: Protocolo da Área de Trabalho   T1021.001Os atores de ameaça podem usar contas válidas para fazer o login em um computador usando o protocolo de área de trabalho remota.
Coleta   TA0009Dados do sistema local   T1005Capture sistemas de pesquisa de agentes de ameaças para encontrar arquivos e pastas de interesses antes da exfiltração.
Comando e Controle   TA0011Protocolos da camaa de aplicação: Protocolos da Web   T1071.001Os atores de ameaça estabelecem conexões pela porta 443 para combinar tráfego C2 com outro tráfego da web.
Exfiltração   TA0010Exfiltração   TA0010Os atores do Snatch realizam o uso da tecnica de exfiltração para roubar dados da rede da vítima.
Impacto   TA0040Dados criptografados para impacto.   T1486Os agentes de ameaças criptograram dados em sistema alvo ou em um grande número de sistemas em uma rede para interromper a disponibilidade dos recursos do sistema e da rede.
Inibir a recuperação do sistema. T1490Os agentes de ameça Snatch excluem todas as cópias de sombra de volume do sistema de arquivos da vítima para inibir a recuperação do sistema.
Tabela MITRE ATT&CK

Referências

  • Heimdall by ISH Tecnologia
  • Relatório do FBI – Ransomware Snatch publicado em Setembro-2023