昨天（9月21日），美國當局發布了一份新的網絡安全公告，介紹了Snatch勒索軟件即服務（RaaS）組織使用的最新戰術、技術和程序（TTPs）。

網絡安全和基礎設施安全局（CISA）和聯邦調查局解釋說，雖然Snatch于2018年首次出現，但自2021年以來一直在學習借鑒其他勒索軟件的技術，現已發展“壯大”。

該勒索軟件采用了經典的雙重勒索“玩法”，如果受害者不付錢，就會將其詳細信息發布到泄密網站上。

據觀察，Snatch 威脅行為者會先從其他勒索軟件中購買竊取的數據，試圖進一步利用受害者支付贖金，以避免他們的數據被發布在 Snatch 的勒索博客上。

該組織通常會嘗試暴力破解 RDP 端點或使用其在暗網上購買的憑證進行初始訪問，俄通過入侵管理員賬戶以及 443 端口與羅斯防彈托管服務托管的命令控制服務器建立連接，從而獲得持久性。

此外，公告中還提到，附屬機構使用 Metasploit 和 Cobalt Strike 等工具進行橫向移動和數據發現，有時會在受害者網絡內花費長達三個月的時間。

他們還經常會嘗試通過一種非常特殊的方式來禁用殺毒軟件。

該報告解釋說，Snatch攻擊者使用一種定制的勒索軟件變體，可以將設備重新啟動到安全模式，使勒索軟件能夠繞過反病毒或端點保護的檢測，然后在很少有服務運行時對文件進行加密。

受害組織來自多個關鍵基礎設施領域，包括國防工業基地（DIB）、食品和農業以及科技領域。

CardinalOps 首席執行官 Michael Mumcuoglu 表示，在過去的 12 至 18 個月時間里，Snatch 勒索軟件組織的活動有所增加。此前他們聲稱會對最近幾起備受矚目的攻擊事件負責，其中包括涉及南非國防部、加利福尼亞州莫德斯托市、加拿大薩斯喀徹溫省機場、總部位于倫敦的組織 Briars Group 和其他組織的攻擊事件。

Optiv 公司的網絡業務負責人Nick Hyatt提到，近幾個月來，該組織的 TTP 并沒有太大變化。在2022年7月至2023年6月期間，該公司跟蹤了Snatch在所有垂直領域發動的70次攻擊，這些攻擊絕大多數集中在北美地區。