昨天（9月21日），美国当局发布了一份新的网络安全公告，介绍了Snatch勒索软件即服务（RaaS）组织使用的最新战术、技术和程序（TTPs）。

网络安全和基础设施安全局（CISA）和联邦调查局解释说，虽然Snatch于2018年首次出现，但自2021年以来一直在学习借鉴其他勒索软件的技术，现已发展“壮大”。

该勒索软件采用了经典的双重勒索“玩法”，如果受害者不付钱，就会将其详细信息发布到泄密网站上。

据观察，Snatch 威胁行为者会先从其他勒索软件中购买窃取的数据，试图进一步利用受害者支付赎金，以避免他们的数据被发布在 Snatch 的勒索博客上。

该组织通常会尝试暴力破解 RDP 端点或使用其在暗网上购买的凭证进行初始访问，俄通过入侵管理员账户以及 443 端口与罗斯防弹托管服务托管的命令控制服务器建立连接，从而获得持久性。

此外，公告中还提到，附属机构使用 Metasploit 和 Cobalt Strike 等工具进行横向移动和数据发现，有时会在受害者网络内花费长达三个月的时间。

他们还经常会尝试通过一种非常特殊的方式来禁用杀毒软件。

该报告解释说，Snatch攻击者使用一种定制的勒索软件变体，可以将设备重新启动到安全模式，使勒索软件能够绕过反病毒或端点保护的检测，然后在很少有服务运行时对文件进行加密。

受害组织来自多个关键基础设施领域，包括国防工业基地（DIB）、食品和农业以及科技领域。

CardinalOps 首席执行官 Michael Mumcuoglu 表示，在过去的 12 至 18 个月时间里，Snatch 勒索软件组织的活动有所增加。此前他们声称会对最近几起备受瞩目的攻击事件负责，其中包括涉及南非国防部、加利福尼亚州莫德斯托市、加拿大萨斯喀彻温省机场、总部位于伦敦的组织 Briars Group 和其他组织的攻击事件。

Optiv 公司的网络业务负责人Nick Hyatt提到，近几个月来，该组织的 TTP 并没有太大变化。在2022年7月至2023年6月期间，该公司跟踪了Snatch在所有垂直领域发动的70次攻击，这些攻击绝大多数集中在北美地区。

参考来源：US Government in Snatch Ransomware Warning - Infosecurity Magazine (infosecurity-magazine.com)