SophosLabs<\/a> und Sophos Managed Threat Response<\/a> haben einen Bericht<\/a> \u00fcber eine neue Ransomware ver\u00f6ffentlicht, die eine bisher noch nicht bekannte Angriffsmethode verwendet: Die sogenannte Snatch-Ransomware geht mit variierenden \u00a0Techniken vor und veranlasst unter anderem einen Neustart \u00fcbernommener Computer im abgesicherten Modus, um verhaltensorientierte Schutzma\u00dfnahmen, die speziell nach Ransomware-Aktivit\u00e4ten wie das Verschl\u00fcsseln von Dateien Ausschau halten, zu umgehen. Sophos geht davon aus, das Cyberkriminelle damit eine neue Angriffstechnik etabliert haben, um fortschrittliche Schutzmechanismen auszuhebeln.<\/p>\n Neben der neuen Angriffstaktik belegt ein weiterer interessanter Fund, dass sich ein anderer Trend fortzusetzen scheint: Kriminelle filtern immer h\u00e4ufiger Daten heraus, bevor die eigentliche Ransomware-Attacke startet. Die entwendeten Daten k\u00f6nnten zu einem sp\u00e4teren Zeitpunkt f\u00fcr Erpressungen, auch in Zusammenhang mit der DSGVO, verwendet werden. \u00c4hnliches Verhalten konnten die SophosLabs zum Beispiel bei Ransomware-Gruppen wie Bitpaymer feststellen.<\/p>\n Unsere Experten gehen davon aus, dass sich derartige Hybride aus Daten-Diebstahl und Ransomware in Zukunft h\u00e4ufen werden. Snatch ist ein weiteres Beispiel f\u00fcr eine automatisierte Angriffsmethode, wie sie SophosLabs in seinem Threat Report<\/a> 2020 beschrieben hat. Sobald Angreifer \u00fcber Fernzugriffsdienste in ein System eingedrungen sind, nutzen sie das sogenannte Hand-To-Keyboard-Hacking, um m\u00f6glichst viel Schaden anzurichten. Der Snatch-Report beschreibt, wie Hacker versuchen, Zugang via unsicherer IT-Fernzugriffsdienste zu erlangen, beispielsweise \u00fcber das Remote Desktop Protocol (RDP). Zudem enth\u00e4lt das Dokument zahlreiche Hintergrundinformationen zur Szene, die unter anderem beschreiben, wie die Snatch-Sch\u00f6pfer versuchen, Kollaborateure in Dark-Web-Foren zu rekrutieren.<\/p>\n Ebenfalls kein Zufall scheint der Name \u201eSnatch\u201d zu sein. In fr\u00fchen Versionen der Ransomware findet sich im Erpressungsschreiben die Email-Adresse ImBoristheBlade(at)protonmail.com. Dies k\u00f6nnte eine Referenz an den Film \u201eSnatch\u201c mit Brad Pitt aus dem Jahr 2000 sein, in dem ein KGB-Agentencharakter namens Boris the Blade mit von der Partie ist, der sich durch seine Flinkheit und Z\u00e4higkeit auszeichnet. Und auch der von den Hackern im Dark Web genutzte Deckname Bullet Tooth Tony taucht im selben Film auf.<\/p>\n Schutzma\u00dfnahmen gegen Snatch & Co.<\/strong>\u00a0<\/strong><\/p>\n Weitere Informationen zur Snatch-Ransomware mit detaillierten technischen Details finden sich im englischen SophosLabs Snatch Report<\/a>.<\/p>\n<\/p><\/div>\n\n
![](\"https:\/\/sophos.files.wordpress.com\/2019\/12\/shutterstock_672555352.png\"\/)
<\/p>\n