Los investigadores de Kaspersky Lab descubrieron una nueva variante del ransomware troyano SynAck, que utiliza la técnica de Doppelgänging para eludir la protección antivirus ocultándose en procesos legítimos. Es la primera vez que se ve esta técnica en un ransomware que se propaga libremente. Los programadores de SynAck también implementan otros trucos para evadir la detección y el análisis: ofuscar todos los códigos de malware antes de la compilación de muestras y desaparecer si las señales sugieren que se está lanzando en un sandbox.
El ransomware SynAck se conoce desde el otoño de 2017, y en diciembre se observó que apuntaba principalmente a usuarios de habla inglesa con ataques de fuerza bruta del protocolo de escritorio remoto (RDP, por sus siglas en inglés), seguido por la descarga e instalación manual del malware. La nueva variante descubierta por los investigadores de Kaspersky Lab lleva a cabo una estrategia mucho más avanzada, utilizando la técnica Process Doppelgänging para evadir la detección.
Process Doppelgänging, reportada en diciembre de 2017, implica una inyección de código sin archivos que aprovecha una función integrada a Windows y una implementación no documentada del cargador de procesos de Windows. Al manipular la forma en la que Windows gestiona las transacciones de archivos, los atacantes pueden hacer pasar las acciones maliciosas como procesos legítimos e inofensivos, incluso si están usando un código malicioso conocido. Doppelgänging no deja rastros, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar. Es la primera vez que se observa que un ransomware emplee esta técnica para su propagación.
Otras características que son importantes resaltar de la nueva variante de SynAck incluyen:
El troyano esconde su código ejecutable antes de la compilación, en lugar de empaquetarlo como la mayoría del ransomware, lo que dificulta a los investigadores emplear ingeniería inversa y analizar el código malicioso.
También esconde los enlaces a la función API necesaria y almacena las funciones hashes – un resumen de toda la información – en lugar de almacenar las cadenas completas.
Después de la instalación, el troyano revisa el directorio desde el que se inicia su ejecutable, y si detecta un intento de ponerlo en marcha desde un directorio «incorrecto» (como un posible sandbox automatizado), entonces abandona la operación.
El malware también sale sin ejecución si la PC víctima tiene configurado el teclado para escritura cirílica.
Antes de cifrar archivos en un dispositivo víctima, SynAck verifica los hashes de todos los procesos y servicios en ejecución contra su propia lista codificada. Si encuentra una coincidencia, intenta interrumpir el proceso. Los procesos bloqueados de esta manera incluyen máquinas virtuales, aplicaciones de oficina, intérpretes de guiones, aplicaciones de bases de datos, sistemas de respaldo, aplicaciones de juegos y más, posiblemente para que sea más fácil capturar archivos valiosos que de otro modo podrían estar vinculados a los procesos en ejecución.
Los investigadores creen que los ataques que usan esta nueva variante de SynAck son muy específicos. Hasta la fecha, han observado un número limitado de ataques en EE.UU., Kuwait, Alemania e Irán, con demandas de rescate por $3.000 dólares.
«La carrera entre atacantes y defensores en el ciberespacio es interminable. La capacidad de la técnica Process Doppelgänging para hacer pasar el malware a través de las medidas de seguridad más recientes representa una amenaza significativa que ha sido aprovechada rápidamente por los atacantes, lo que no resulta sorprendente. Nuestra investigación muestra cómo SynAck, un ransomware de bajo perfil, utilizó esa técnica para mejorar su capacidad de penetración e infección. Afortunadamente, la lógica para la detección de este ransomware se implementó antes de que apareciera en propagación libre», dijo Anton Ivanov, analista principal de malware para Kaspersky Lab.
· Kaspersky Lab detecta esta variante del ransomware SynAck como:
· Trojan-Ransom.Win32.Agent.abwa
· Trojan-Ransom.Win32.Agent.abwb
· PDM: Trojan.Win32.Generic
· Kaspersky Lab recomienda tomar las siguientes acciones para mantener a los usuarios y dispositivos a salvo del ransomware:
· Hacer una copia de seguridad de los datos regularmente.
· Utilizar una solución de seguridad confiable con detección de comportamiento y capaz de deshacer acciones maliciosas.
· Siempre mantener el software actualizado en todos los dispositivos que use.
Si se trata de una empresa, también debe educar a sus empleados y al equipo de TI; y mantener los datos confidenciales separados con acceso restringido. Se recomienda utilizar una solución de seguridad robusta, como Kaspersky Endpoint Security for Business.
Si tiene la mala suerte de ser víctima de un cifrado, no se asuste. Use un sistema limpio para consultar nuestro sitio No More Ransom; es posible que encuentre una herramienta de descifrado que pueda ayudarle a recuperar sus archivos.
Para obtener más información acerca de la nueva variante falsa de SynAck, por favor visite nuestro blogpost enSecurelist.com.