Snatch 勒索软体团伙的警告与安全挑战

主要重点

日前，美国联邦调查局（FBI）及网络安全和基础设施安全局（CISA）针对勒索软体团伙 Snatch发出警告，该团伙最近的受害者包括莫德斯托市、坦帕总医院及加拿大护理协会。
这份在9月20日发布的网络安全顾问报告和该团伙对佛罗里达州退伍军人事务部的尚未证实的声明同时出现。

根据 FBI 和 CISA 的说法，成立于2018年的
Snatch，已针对各行各业的组织进行攻击，包括食品、农业、信息技术及国防等领域的机构。他们指出，自2021年中以来，Snatch的攻击者持续进化其战术，利用当前网络犯罪空间的趋势，以及其他勒索变种攻击的成功经验。

该团伙采用勒索软体即服务的模式，并且愿意采纳新技术，包括双重勒索的做法：在加密受害者系统中的数据后，还会威胁发布被窃数据，若未能支付赎金。

在顾问报告发布后不久，Emsisoft 的威胁分析师布雷特·卡洛（Brett Callow）在 X（前身为 Twitter）上发布了 Snatch勒索博客的截图，其中称佛罗里达州退伍军人事务部是其最新的受害者之一。该部门尚未对此声明进行公开回应。

自成立以来，Snatch 因为其使用自定义勒索软体的特点而闻名，此勒索软体能在 Windows安全模式下重新启动受害者设备。这样可以绕过防毒软体和端点保护解决方案，在目标设备上进行档案加密，同时运行的服务较少。

FBI 和 CISA 提到，Snatch的成员一般利用远端桌面协议（RDP）的弱点以及暴力破解技术获得受害者网络的管理员访问权限。然而，在某些情况下，这些成员也从暗网论坛和市场中购买被骇的凭证。

最近 Snatch 受害者所提供的事件日志显示，该团伙通过一家位于俄罗斯的保护性主机服务及其他虚拟私人网络服务，对目标组织进行 RDP连接。该团伙利用管理员账户在受害者的网络中建立持续的访问，透过端口 443 连接到位于俄罗斯的指挥控制伺服器。

Snatch 的威胁行为者在受害者系统上可停留长达三个月，利用此期间搜寻可窃取的档案及资料夹，并确保其恶意软体能广泛部署。

在顾问报告中，机构提到 Snatch被观察到从其他勒索团伙那里购买被窃数据，以此压迫组织支付赎金，避免数据在其勒索博客上被发布。上个月，该博客的一名发言人告诉
，该博客与该勒索团