Fox-IT'den bilgi güvenliği uzmanları, şifreleme olmadan gasp yapan SnapMC hack grubunu keşfetti. Saldırganlar şirketlere girer, verileri çalar ve ardından kurbanlardan fidye talep ederek çalınan verileri kamuya açık alanda yayınlamakla veya bir ihlal ve medya sızıntısı bildirmekle tehdit eder. İlginçtir ki, bu tür saldırılar bilgisayar korsanları için yalnızca 30 dakika sürer.
Grup, adını hızlı saldırılardan ve verileri çalmak için mc.exe aracının kullanılmasından almıştır. Uzmanlar, bilgisayar korsanlarının genellikle çeşitli güvenlik açıklarını kullanarak şirket ağlarına girdiğini yazıyor. Bu amaçlar için SnapMC, Acunetix güvenlik açığı tarayıcısını kullanır ve VPN'lerde, web sunucularında vb. hatalar bulur. Örneğin, birkaç izinsiz giriş, Telerik ASP.NET UI bileşenindeki bir güvenlik açığı olan CVE-2019-18935 hatasının kullanılmasıyla bağlantılıydı.
Kurbanın ağına giren bilgisayar korsanları hızla veri toplamaya geçer ve genellikle güvenliği ihlal edilmiş ağda 30 dakikadan fazla zaman harcamaz. Dosyaları çalmak için, saldırganlar bir SQL veritabanından verileri dışa aktarmak için komut dosyaları kullanır, ardından CSV dosyaları 7zip kullanılarak sıkıştırılır ve bilgisayar korsanlarına bilgi aktarmak için MinIO istemcisi kullanılır.
SnapMC daha sonra saldırıya uğramış şirkete saldırının kanıtı olarak çalınan dosyaları listeleyen bir e-posta gönderir ve kurbanlara e-postaya yanıt vermeleri için 24 saat ve fidye ödemesini kabul etmeleri için 72 saat daha verir.
Fox-IT analistleri, grubun izlenmesi sırasında, kurbanın iç ağına erişimleri olmasına rağmen, bilgisayar korsanlarının fidye yazılımı kullandığını fark etmediklerini vurguluyor. Bunun yerine, saldırganlar yalnızca veri hırsızlığına ve ardından gasp etmeye odaklanır.