Se conoce el ransomware SynAck desde otoño de 2017. En diciembre del pasado año se pudo observar cómo se dirigía contra usuarios de habla inglesa, mediante ataques de fuerza bruta RDP (Remote Desktop Protocol) seguidos de la descarga manual y la instalación del malware. La nueva variante descubierta por los analistas de Kaspersky Lab utiliza un enfoque mucho más sofisticado al utilizar la técnica Process Doppelgänging para evitar la detección.
Descubierta en diciembre de 2017, Process Doppelgänging implica una inyección de código sin archivos que aprovecha una función Windows incorporada y una implementación no documentada del cargador de procesos de Windows. Al manipular las transacciones de archivos en modo similar a como lo hace Windows, los ciberdelincuentes pueden simular sus acciones maliciosas como si fueran procesos legítimos e inofensivos, aún en el caso de que estuvieran usando un código malicioso conocido. Doppelgänging no deja evidencia rastreable, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar. Esta es la primera vez que se ha observado ransomware utilizar esta técnica.
Entre otras características dignas de mención de la nueva variante de SynAck se incluyen:
- El troyano ofusca su código ejecutable antes de la compilación, en lugar de empaquetarlo como hace la mayoría de los otros ransomware, lo que dificulta que los investigadores realicen ingeniería inversa y analicen el código malicioso
- También oculta los enlaces a la función API necesaria y almacena los hashes en las cadenas, en lugar de las cadenas mismas.
- Tras la instalación, el troyano revisa el directorio desde el que se inició su ejecutable, y si detecta un intento de inicio desde un directorio incorrecto, como un potencial sandbox automatizado, se cierra.
- El malware también se cierra sin ejecutarse si el PC de la víctima cuenta con un teclado configurado para caracteres cirílicos.
- Antes de cifrar los archivos en un dispositivo de la víctima, SynAck verifica los hashes de todos los procesos y servicios en ejecución contra su propia lista codificada. Si encuentra una coincidencia, intenta parar el proceso. Los procesos así bloqueados, incluyen máquinas virtuales, aplicaciones office, intérpretes de script, aplicaciones de bases de datos, sistemas de respaldo, aplicaciones de juegos y otras, posiblemente para que sea más fácil capturar archivos valiosos que, de otro modo, podrían estar vinculados a los procesos en ejecución.
Los analistas creen que los ataques que utilizan esta nueva variante de SynAck son muy concretos. Hasta ahora, solo se han observado un número limitado de ataques en EE.UU., Kuwait, Alemania e Irán, con peticiones de rescate de 3.000 dólares (aprox. 2500€).
Los analistas creen que los ataques que utilizan esta nueva variante de SynAck son muy concretos
“La pugna en el ciberespacio entre ciberdelincuentes y defensores es una historia interminable. La capacidad de la técnica Process Doppelgänging para llevar el malware más allá de las últimas medidas de seguridad, representa una amenaza muy importante, una que a nadie sorprende, ha sido rápidamente aprovechada rápidamente por los atacantes. Nuestro análisis muestra cómo el ransomware SynAck de perfil relativamente bajo, utilizó esa técnica para actualizar su discreción y capacidad de infección. Afortunadamente, la lógica de detección para este ransomware se implementó antes de que apareciera sobre el terreno”, dijo Anton Ivanov, analista principal de malware, Kaspersky Lab
Kaspersky Lab detecta esta variante del ransomware SynAck como:
- Trojan-Ransom.Win32.Agent.abwa
- Trojan-Ransom.Win32.Agent.abwb
- PDM:Trojan.Win32.Generic
