קבוצת SnapMC משתמשת בסורקים ותוכנות זדוניות מיוחדות כדי לגנוב קבצי חברה
מומחי אבטחת מידע מבית Fox-IT גילה קבוצת פריצות SnapMC, אשר גונב קבצי חברה ועוסק בסחיטה ללא הצפנה.
התוקפים פורצים לחברות, לגנוב נתונים, ואז לדרוש כופר מהקורבנות, מאיים לפרסם את הנתונים הגנובים ברשות הרבים או לדווח על הפרה ודליפת מדיה. מעניין, התקפות כאלה לוקחות בערך 30 דקות להאקרים.
הקבוצה קיבלה את שמה מהתקפות מהירות והשימוש בכלי mc.exe לגניבת נתונים. מומחים כותבים שבדרך כלל האקרים פורצים לרשתות של חברות באמצעות פגיעויות שונות.
למטרות אלה, SnapMC משתמש ב Acunetix סורק הפגיעות ומוצא באגים ב- VPN, שרתי אינטרנט, וכולי. לדוגמה, כמה פלישות נקשרו לניצול של CVE-2019-18935 חרק, פגיעות ב טלריק רכיב ממשק המשתמש של ASP.NET.
לאחר שחדר לרשת הקורבן, האקרים עוברים במהירות לאיסוף נתונים ובדרך כלל אינם מוציאים יותר מ 30 דקות ברשת שנפגעה. לגנוב קבצים, התוקפים משתמשים בסקריפטים לייצוא נתונים ממסד נתונים של SQL, ואז קובצי ה- CSV נדחסים באמצעות 7zip, ולקוח MinIO משמש להעברת מידע להאקרים.
לאחר מכן, SnapMC שולחת לחברה שנפרצה הודעת דוא"ל המפרטת את הקבצים הגנובים כראיה לפיגוע, ונותן קורבנות 24 שעות לענות להודעת הדוא"ל ועוד 72 שעות להסכמה על תשלום כופר.
Fox-IT אנליסטים מדגישים כי במהלך המעקב אחר הקבוצה, הם לא שמו לב שהאקרים משתמשים בתוכנת כופר, למרות שהיתה להם גישה לרשת הפנימית של הקורבן. במקום זאת, התוקפים מתמקדים אך ורק בגניבת נתונים וסחיטה לאחר מכן.
הרשה לי להזכיר לך כי דיווחנו גם על כך צַעַר תוכנת כופר מאיימת להרוס את נתוני הקורבנות אם יפנו למשא ומתן.
