Il ransomware SNet blocca la maggior parte dei file

Il nostro team ha scoperto il ransomware SNet durante un esame di routine di nuovi campioni di malware. Il ransomware, un tipo di software dannoso, funziona crittografando i dati e quindi richiedendo un riscatto per la sua decrittazione.

Dopo aver eseguito un campione di SNet sul nostro sistema di test, ha crittografato i file e ha aggiunto l'estensione ".SNet" ai nomi dei file originali. Ad esempio, un file inizialmente denominato "1.jpg" viene trasformato in "1.jpg.SNet" e lo stesso modello viene applicato ad altri file bloccati, come "2.png" che diventa "2.png.SNet". A seguito di questo processo di crittografia, è stata generata una richiesta di riscatto denominata "DecryptNote.txt".

La richiesta di riscatto comunicava che i file erano stati crittografati e rivelava anche che i dati della vittima, compresi documenti e database, erano stati rubati. Il mancato contatto con gli aggressori o il rifiuto di pagare il riscatto comporterebbe l’esposizione del contenuto sottratto.

Per recuperare i file compromessi sarebbe imperativo il pagamento di un riscatto. Per verificare la fattibilità della decrittazione, la vittima potrebbe inviare due piccoli file crittografati ai criminali informatici per un test.

La nota di riscatto SNet offre la decrittografia di due file

Il testo completo della richiesta di riscatto di SNet è il seguente:

Your Decryption ID: -

Your files are encrypted and We have stored your data on our servers,
including documents, databases, and other files,
and if you don't contact us, we'll extract your sensitive data and leak them.
Trust us, we know what data we should gather.

However, if you want your files returned and your data is secure from leaking,
contact us at the following email addresses:

snetinfo@skiff.com
snetinfo@cyberfear.com

(Remember, if we don't hear from you for a while, we will start leaking data)

What is the guarantee that we won't trick you?

You can send us two random small files in any format,
We will decrypt them for free and return it to you as a guarantee.

Dopo aver pagato, ti invieremo un software di decrittazione e cancelleremo tutti i tuoi dati.
Nessuno ci pagherà in futuro se non ti forniamo i decrittatori
o se non rimuoviamo i tuoi dati dopo aver ricevuto il pagamento.

Non abbiamo obiettivi politici e non stiamo cercando di danneggiare la tua reputazione.
Questo è il nostro business. Il denaro e la nostra reputazione sono le uniche cose che contano per noi.
Attacchiamo aziende in tutto il mondo e non c'è mai stata una vittima infelice dopo il pagamento.

Come può il ransomware infettare il tuo computer?

Il ransomware può infiltrarsi nel tuo computer attraverso vari metodi, spesso sfruttando le vulnerabilità o facendo affidamento su tattiche ingannevoli. Ecco alcuni modi comuni in cui il ransomware può infettare un computer:

E-mail di phishing: i criminali informatici spesso utilizzano e-mail di phishing per distribuire ransomware. Queste e-mail possono contenere allegati o collegamenti dannosi che, una volta aperti o cliccati, eseguono il ransomware sul sistema della vittima.

Siti Web e download dannosi: la visita di siti Web compromessi o dannosi può esporre il computer al ransomware. Il download di file o software da fonti non affidabili aumenta il rischio di installare inavvertitamente ransomware.

Sfruttare le vulnerabilità del software: gli autori di ransomware possono trarre vantaggio dalle vulnerabilità della sicurezza nei sistemi operativi o nelle applicazioni software. Il mancato aggiornamento tempestivo del sistema operativo e del software aumenta il rischio di cadere vittima di questi exploit.

Download drive-by: alcuni siti Web potrebbero scaricare automaticamente file dannosi sul tuo computer a tua insaputa o senza il tuo consenso. Questi download drive-by possono essere attivati semplicemente visitando un sito Web compromesso.

Malvertising: i criminali informatici possono utilizzare pubblicità dannosa (malvertising) per diffondere ransomware. Fare clic su annunci o banner online infetti può portare al download e all'esecuzione di ransomware sul tuo computer.

Attacchi RDP (Remote Desktop Protocol): se il protocollo Remote Desktop non è adeguatamente protetto, gli aggressori possono ottenere l'accesso non autorizzato al tuo computer e distribuire ransomware. L'utilizzo di password complesse e univoche e l'abilitazione dell'autenticazione a due fattori per RDP possono contribuire a mitigare questo rischio.

Unità USB e dispositivi esterni: il ransomware può diffondersi attraverso supporti rimovibili come unità USB. Collegare un'unità USB infetta al computer può introdurre ransomware nel sistema.

Ingegneria sociale: gli aggressori possono utilizzare tecniche di ingegneria sociale per indurre gli utenti a eseguire ransomware. Ciò può comportare la mascheramento di file dannosi come file legittimi o l'uso della manipolazione sociale per convincere gli utenti a intraprendere azioni che portano all'installazione di ransomware.

Attacchi Watering Hole: nell'attacco Watering Hole i criminali informatici compromettono i siti web visitati di frequente dal loro pubblico target. Infettando questi siti Web, aumentano la probabilità di infettare gli utenti che li visitano.

Per proteggere il tuo computer dal ransomware, è essenziale adottare buone pratiche di sicurezza informatica. Ciò include l'aggiornamento regolare del software, l'utilizzo di software di sicurezza affidabile, l'attenzione agli allegati e ai collegamenti e-mail, l'evitare siti Web sospetti e il mantenimento di controlli di accesso sicuri, tra le altre misure.