Ransomware Snatch kan antivirus omzeilen

Abonneer je gratis op Techzine!

Makers van het ransomwareprogramma Snatch hebben een manier gevonden om via een achterdeur langs antivirussoftware een computer binnen te dringen. Snatch herstart de computer namelijk in de veilige modus, meldt ZDNet.

De meeste antivirusprogramma’s startten niet in de veilige modus. Op die manier kan Snatch gemakkelijk binnendringen zonder tegen de beveiliging op te lopen.

Vervolgens versleutelt Snatch de gegevens op het systeem. De ransomware werd sinds 2018 voornamelijk ingezet om geld af te troggelen bij grote bedrijven.

Onderzoekers ontdekten de achterdeur

Onderzoekers van Sophos ontdekten de truc met de veilige modus toen ze onderzoek deden bij een ransomwareslachtoffer. Snatch wist daarbij het systeem te overtuigen dat het een dienst was die ook in de veilige modus moest worden ingeschakeld.

Snatch bestaat nu een jaar, maar maakt waarschijnlijk pas sinds kort gebruik van de veilige modus-route. De ransomware kan alleen gebruikt worden op pc’s met een Windows-besturingssysteem.

De ransomware is niet bekend bij het grote publiek: de criminelen achter Snatch vallen over het algemeen geen consumentendoelen aan. Ze zoeken op hackersforums naar mensen met toegang tot de netwerken van grote techbedrijven.

Krijgen ze toegang, dan gaan ze langzaam te werk. Het kan weken duren voordat de groep daadwerkelijk ransomware verspreidt. Tegen de tijd dat Snatch geactiveerd wordt, kan deze op veel systemen binnen het bedrijf aanwezig zijn.

Snatch zou vervolgens vragen om bedragen tussen de 2.000 en 35.000 dollar, schrijft Sophos op basis van informatie van bemiddelingsbedrijf Coverware.

Bovendien probeert het team achter Snatch vaak ook data te stelen. Om dat voor elkaar te krijgen, moeten ze langere tijd zoeken, aldus Sophos. Het enige slachtoffer van Snatch dat openbaar bekend is, is webhostingbedrijf SmarterASP.NET.