Snake è il nuovo ransomware che minaccia le reti aziendali

Il ransomware Snake è programmato per attaccare le aziende. Appena installato interrompe macchine virtuali, sistemi ICS e di gestione remota, poi crittografa i file.

Autore: Redazione SecurityOpenLab

La scorsa settimana è stato scoperto un nuovo ransomware. Si chiama Snake, è scritto in linguaggio Golang e ha un targeting aziendale. Viene utilizzato dai cyber criminali per infiltrarsi nelle reti aziendali, impossessarsi delle credenziali dell'amministratore e crittografare i file su tutti i computer della rete.

La scoperta è da addebitare al MalwareHunterTeam, che ha diffuso le prime informazioni su questo nuovo vettore di infezione. A quanto si apprende, consente un livello di crittografia più elevato rispetto alla media. Il modus operandi è piuttosto comune: all'avvio interrompe numerosi processi relativi a sistemi SCADA, macchine virtuali, sistemi di controllo industriale, strumenti di gestione remota, software di gestione della rete e altro.

A questo punto procede alla crittografia dei file sul dispositivo. Lascia scampo solo a quelli presenti nelle cartelle di sistema di Windows e nei file di sistema. Durante la crittografia aggiunge una stringa di riscatto di 5 caratteri all'estensione del file. Ad esempio, un file denominato 1.doc verrà crittografato e rinominato come 1.docqkWbv.
In ogni file crittografato, inoltre, Snake aggiunge il marcatore di file "EKANS", che sta per SNAKE al contrario. La velocità di crittografia è più bassa di altri ransomware. Questo non costituisce un punto di debolezza perché si tratta di un ransomware mirato che viene eseguito direttamente dall'attaccante nel momento che ritiene più opportuno.

Dopo avere terminato la crittografia di tutti i file del computer, Snake crea una nota di riscatto nella cartella C: Users Public Desktop denominata Fix-Your-Files.txt. Questa nota contiene le istruzioni per contattare un indirizzo email da cui ottenere le istruzioni per il pagamento. Attualmente l'indirizzo è bapcocrypt@ctemplar.com, ma potrebbe cambiare spesso.
Nella nota di riscatto ci sono interessanti informazioni. Una su tutte è che il ransomware si rivolge specificamente all'intera rete, non ai singoli computer. Il decryptor, infatti, è valevole per l'intera rete. L'analisi di Snake da parte degli esperti di cyber sicurezza è ancora in corso. Al momento non sono stati rilevati eventuali punti deboli.

Quello che è certo è che l'elenco dei ransomware che prendono di mira le aziende è aumentato. Snake si aggiunge ai già noti Ryuk, BitPaymer, DoppelPaymer, Sodinokibi, Maze, MegaCortex, LockerGoga.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.