Est-ce que Snatch Ransomware a Snitch les données de R&D de Volvo Cars ?

par L'équipe de Comparaland · 14 décembre 2021

Alors que les nouvelles d’attaques de ransomware continuent de croître, Volvo Cars est un autre nom qui a trouvé sa place sur la liste des victimes.

Par Minu Sirsalewala, consultante éditoriale, CISO MAG

Dans un récent avis, Volvo Cars a confirmé avoir été victime d’une violation de données par un tiers ; son référentiel de fichiers R&D a fait l’objet d’un accès illégal et certaines données ont été volées.

Le ransomware Snatch a revendiqué la responsabilité de la violation, bien que Volvo Cars n’ait pas validé ni signalé la réclamation.

Borns IT- und Windows-Blog, un blogueur allemand, a annoncé dans son article de blog que le site Web DarkFeed avait publié de brèves informations dans lesquelles le groupe de ransomware Snatch revendique une attaque réussie contre l’entreprise. Le gang de ransomware a partagé des captures d’écran des données volées établissant la violation.

Volvo Cars Corporation a été victime d’une cyberattaque du groupe de ransomware Snatch https://t.co/ucLiVw8dvr #Sécurité Born’s Tech et Windows World

— Günter Born (@etguenni) 10 décembre 2021

Volvo a déclaré dans un communiqué : « Volvo Cars a mené sa propre enquête et travaille avec des spécialistes tiers pour enquêter sur le vol de propriété. Nous ne voyons pas, avec les informations actuellement disponibles, que cela a un impact sur la sûreté ou la sécurité des voitures de nos clients ou de leurs données personnelles. Nous ne pouvons pas commenter davantage pour le moment. »

Dans un exclusif interaction par e-mail avec CISO Mag, Volvo Cars a déclaré : « Nous sommes conscients qu’une organisation appelée ‘Snatch’ a revendiqué la responsabilité du vol de propriété ; Volvo Cars enquête.

Sur la demande de ransomware, il a affirmé : « Aucun fichier n’a été crypté ; cependant, la société a été approchée par le tiers.

Il a également ajouté: “Après avoir détecté l’accès non autorisé, nous avons immédiatement mis en œuvre des contre-mesures de sécurité, y compris des mesures pour empêcher tout accès ultérieur à sa propriété et notifié les autorités compétentes.”

Qu’est-ce que Snatch ?

Selon malpedia, Snatch est un ransomware qui infecte les victimes en redémarrant le PC en mode sans échec. La plupart des protections de sécurité existantes ne s’exécutent pas en mode sans échec, qui charge un minimum de pilotes et d’applications ou d’agents en arrière-plan. Dans ce mode, le malware peut agir sans contre-mesures attendues et il peut crypter autant de fichiers qu’il en trouve. Il utilise des packers courants tels que UPX pour masquer sa charge utile. En raison du mode sans échec, le malware n’est pas détecté et est difficile à identifier.

L’équipe Sophos MTR a révélé : « Le ransomware, qui s’appelle Snatch, se configure comme un service qui s’exécutera lors d’un démarrage en mode sans échec. Il redémarre rapidement l’ordinateur en mode sans échec, et dans l’environnement raréfié du mode sans échec, où la plupart des logiciels (y compris les logiciels de sécurité) ne s’exécutent pas, Snatch crypte les disques durs des victimes. Snatch s’exécute dans un mode d’autorisations élevées, définit des clés de registre qui indiquent à Windows de l’exécuter après un redémarrage en mode sans échec, puis redémarre l’ordinateur et commence à chiffrer le disque pendant qu’il s’exécute en mode sans échec.

Les acteurs de la menace ont eu recours à des outils et des techniques principalement utilisés pour les tests et le dépannage afin de lancer des cyberattaques. Comme l’outil de pentesting Cobalt Strike et le Safe Mood utilisé pour le dépannage. Il y a eu une tendance où les acteurs de la menace examinent également les techniques de la vieille école et les reconditionnent pour lancer des campagnes inattendues et sortir de leurs cachettes.

Et c’est l’une des tendances de sécurité que nous voyons venir en 2022.