Grupa SnapMC wykorzystuje skanery i specjalne złośliwe oprogramowanie do kradzieży plików firmowych

Specjaliści ds. bezpieczeństwa informacji z Fox-IT odkryty grupa hakerów SnapMC, który kradnie pliki firmowe i zajmuje się wyłudzaniem bez szyfrowania.

Atakujący włamują się do firm, ukraść dane, a potem żądać okupu od ofiar, grożenie opublikowaniem skradzionych danych w domenie publicznej lub zgłoszeniem naruszenia i wycieku mediów. co ciekawe, takie ataki trwają tylko około 30 minuty dla hakerów.

Grupa wzięła swoją nazwę od szybkich ataków i wykorzystania narzędzia mc.exe do kradzieży danych. Eksperci piszą, że hakerzy zazwyczaj włamują się do firmowych sieci, wykorzystując różne luki w zabezpieczeniach.

Do tych celów, SnapMC używa Akunetix skaner podatności i znajduje błędy w sieciach VPN, serwery internetowe, i tak dalej. Na przykład, kilka włamań było związanych z eksploatacją CVE-2019-18935 błąd, luka w Telerik Komponent ASP.NET UI.

Po przeniknięciu do sieci ofiary, hakerzy szybko przechodzą do zbierania danych i zazwyczaj nie wydają więcej niż 30 minut w zaatakowanej sieci. Aby ukraść pliki, atakujący używają skryptów do eksportu danych z bazy danych SQL, następnie pliki CSV są kompresowane przy użyciu 7zip, a klient MinIO służy do przesyłania informacji do hakerów.

SnapMC wysyła następnie zhakowanej firmie wiadomość e-mail zawierającą skradzione pliki jako dowód ataku, i daje ofiarom 24 godziny na odpowiedź na e-mail i kolejne 72 godziny na uzgodnienie zapłaty okupu.

Fox-IT analitycy podkreślają, że podczas monitoringu grupy, nie zauważyli, że hakerzy używali oprogramowania ransomware, chociaż mieli dostęp do wewnętrznej sieci ofiary. Zamiast, atakujący skupiają się wyłącznie na kradzieży danych i późniejszym wyłudzeniu.

Przypomnę, że również to zgłosiliśmy Smutek ransomware grozi zniszczeniem danych ofiar, jeśli zwrócą się do negocjatorów.