Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 760 Tage inaktiv Ransomware-Gruppe · Profil

Snatch

142Opfer gesamt
0Opfer (30 Tage)
29.11.2021Erstes Auftreten
InaktivStatus

Überblick

Snatch ist eine Ransomware, die sich durch eine besondere Vorgehensweise von anderen Erpressungsprogrammen abhebt: Sie startet den befallenen Rechner in den abgesicherten Modus von Windows neu. Da die meisten Sicherheitsschutzmechanismen im abgesicherten Modus nicht aktiv sind, kann die Schadsoftware weitgehend ungehindert agieren und stößt nicht auf die sonst zu erwartenden Gegenmaßnahmen. In diesem Zustand verschlüsselt sie möglichst viele der auf dem System auffindbaren Dateien. Um ihre eigentliche Schadlast vor der Erkennung zu verbergen, greift Snatch auf verbreitete Packprogramme wie UPX zurück, mit denen der schädliche Code komprimiert und verschleiert wird. Das Zusammenspiel aus Umgehung der Schutzsoftware über den abgesicherten Modus und der Tarnung der Nutzlast macht die Erkennung und Abwehr dieser Ransomware besonders anspruchsvoll.

Taktiken & Vorgehen

Zur Vorbereitung der Verschlüsselung manipuliert Snatch den Startvorgang des Systems. Mit dem Werkzeug BCDEdit, das zur Bearbeitung der Boot-Konfiguration dient, erzwingt die Schadsoftware einen Neustart in den abgesicherten Modus, in dem Schutzlösungen typischerweise nicht laufen. Über die Dienststeuerung ServiceControl („sc.exe“) werden Dienste angelegt oder verändert, sodass die Schadkomponente auch im abgesicherten Modus zur Ausführung kommt. Für die Phasen vor der eigentlichen Verschlüsselung kommen verbreitete Angriffsframeworks zum Einsatz: Cobalt Strike sowie Meterpreter dienen der Fernsteuerung kompromittierter Systeme, der Bewegung im Netz und dem Nachladen weiterer Komponenten. Zur Tarnung der Schadlast werden gängige Packprogramme wie UPX genutzt.

Schutzmaßnahmen

Änderungen an der Boot-Konfiguration über BCDEdit sowie unerwartete Neustarts in den abgesicherten Modus sollten überwacht und nach Möglichkeit unterbunden werden, da Schutzsoftware in diesem Zustand häufig inaktiv ist. Das Anlegen und Verändern von Diensten mittels ServiceControl („sc.exe“) sollte protokolliert und auf Auffälligkeiten geprüft werden. Der Einsatz von Angriffsframeworks wie Cobalt Strike und Meterpreter lässt sich durch Netzwerküberwachung auf typische Kommunikationsmuster sowie durch Erkennung verdächtiger Prozessaktivität eindringen. Mit Packprogrammen wie UPX verschleierte Dateien sollten durch entsprechende Erkennungsmechanismen identifiziert werden.

Chronologie

  1. 29.11.2021 Erste bekannte Aktivität
  2. 16.05.2024 Zuletzt aktiv

Erwähnt in

  • Noch kein Artikel verlinkt — die Verknüpfung entsteht automatisch, sobald ein Beitrag den Gruppennamen nennt.