Volvo pode ser nova vítima do ransomware Snatch

O grupo de cibercriminosos que opera o ransomware Snatch publicou às 19h27 de ontem (horário de Brasília) um post alegando ter comprometido aquilo que pode ser pelo menos um dispositivo em uma rede da Volvo. O grupo de cibercriminosos publicou imagens que supostamente seriam da máquina acessada, exibindo ícones de diretórios e subdiretórios, de arquivos e também de seus nomes.

Além disso, o grupo publicou apenas um trecho da história da Volvo, obtida no seu website. Não foram exibidos detalhes como os arquivos propriamente ditos, nota e valor de resgate. O CISO Advisor solicitou informações à Volvo no Brasil mas ainda não as recebeu.

O ransomwre Snatch é quase um desconhecido: nos últimos 12 meses ele pouco apareceu, ressurgindo agora com o que alega ser um peixe grande. Na verdade o post pode ser 100% falso: o objetivo pode ser apenas o de atrais mais operadores para a plataforma. Como as plataformas de ransomware precisam de operadores para espalhar phishing ou invadir redes, quanto mais melhor – quanto mais, tanto mais probabilidades de fisgar peixes grandes e obter pagamentos. Pode ser esse o caso ao anunciarem a Volvo. A exibição de uma imagem de supostos diretórios e arquivos pode não significar absolutamente nada. Pode ser apenas mais uma estratégia do marketing do cibercrime.

O Snatch foi descoberto pelos pesquisadores da Sophos dois anos atrás. Depois de contaminar a máquina, ele a reinicia em Safe Mode e roda como um serviço chamado “Super Backup Man” (aparece assim no Registry). Sai criptografando arquivos, acrescentando uma extensão específica para a vítima e acrescentando uma nota de resgate no diretório-raiz (veja imagem da Sophos). A cada reboot o serviço é reiniciado.

Fonte: Ciso Advisor