Le groupe SnapMC utilise des scanners et des logiciels malveillants spéciaux pour voler les fichiers de l'entreprise

Helga Smithoctobre 14, 2021Dernière mise à jour: octobre 15, 2021
28 Temps de lecture 1 minute

Spécialistes de la sécurité de l'information de Fox-IT découvert le groupe de hack SnapMC, qui vole des fichiers d'entreprise et se livre à l'extorsion sans cryptage.

Les attaquants s'introduisent dans les entreprises, voler des données, puis demander une rançon aux victimes, menacer de publier les données volées dans le domaine public ou de signaler une violation et une fuite médiatique. de façon intéressante, de telles attaques ne prennent qu'environ 30 minutes pour les pirates.

Le groupe tire son nom d'attaques rapides et de l'utilisation de l'outil mc.exe pour voler des données. Les experts écrivent que les pirates informatiques s'introduisent généralement dans les réseaux de l'entreprise en utilisant diverses vulnérabilités.

A ces fins, SnapMC utilise le Acunetix scanner de vulnérabilité et trouve des bogues dans les VPN, serveurs Web, etc. Par exemple, plusieurs intrusions étaient liées à l'exploitation de la CVE-2019-18935 bogue, une vulnérabilité dans le Telerik Composant d'interface utilisateur ASP.NET.

Avoir pénétré le réseau de la victime, les pirates passent rapidement à la collecte de données et ne dépensent généralement pas plus de 30 minutes sur le réseau compromis. Pour voler des fichiers, les attaquants utilisent des scripts pour exporter des données à partir d'une base de données SQL, puis les fichiers CSV sont compressés à l'aide de 7zip, et le client MinIO est utilisé pour transférer des informations aux pirates.

SnapMC envoie ensuite à l'entreprise piratée un e-mail répertoriant les fichiers volés comme preuve de l'attaque, et donne aux victimes 24 heures pour répondre à l'e-mail et un autre 72 heures pour se mettre d'accord sur le paiement d'une rançon.

Fox-IT les analystes soulignent que lors du suivi du groupe, ils n'ont pas remarqué que les pirates utilisaient un ransomware, alors qu'ils avaient accès au réseau interne de la victime. Au lieu, les attaquants se concentrent exclusivement sur le vol de données et l'extorsion ultérieure.

Intelligence des menaces de NCC Group L'équipe prédit que les attaques par extorsion de données augmenteront avec le temps, car cela prend moins de temps, et encore moins de connaissances ou de compétences techniques approfondies par rapport à une attaque de ransomware à part entière. Dans une attaque de ransomware, l'adversaire doit atteindre la persistance et devenir administrateur de domaine avant de voler des données et de déployer un ransomware. Alors que dans les attaques d'extorsion de violation de données, la plupart de l'activité pourrait même être automatisée et prend moins de temps tout en ayant un impact significatif.rapport de chercheurs.

Permettez-moi de vous rappeler que nous avons également signalé que Deuil un ransomware menace de détruire les données des victimes si elles se tournent vers les négociateurs.

Mots clés
Helga Smithoctobre 14, 2021Dernière mise à jour: octobre 15, 2021
28 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page