Kaspersky destapa una variante del 'ransomware' SynAck

El pasado otoño aparecía en el panorama cibernético un nuevo ransomware: SynAck, el cual se dirigía contra usuarios de habla inglesa, mediante ataques de fuerza bruta RDP (Remote Desktop Protocol) seguidos de la descarga manual y la instalación del malware. Ahora los analistas de Kaspersky Lab han descubierto que éste se ha actualizado con un enfoque mucho más sofisticado utilizando la técnica Process Doppelgänging para evitar la detección.

El sistema Process Doppelgänging implica una inyección de código sin archivos que aprovecha una función Windows incorporada y una implementación no documentada del cargador de procesos de Windows. Al manipular las transacciones de archivos en modo similar a como lo hace Windows, los ciberdelincuentes pueden simular sus acciones maliciosas como si fueran procesos legítimos e inofensivos, aún en el caso de que estuvieran usando un código malicioso conocido. Doppelgänging no deja evidencia rastreable, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar. Esta es la primera vez que se ha observado ransomware utilizar esta técnica.

Los analistas creen que los ataques que utilizan esta nueva variante de SynAck son muy concretos. Hasta ahora, solo se han observado un número limitado de ataques en EE.UU., Kuwait, Alemania e Irán, con peticiones de rescate de 3.000 dólares. 

“La pugna en el ciberespacio entre ciberdelincuentes y defensores es una historia interminable. La capacidad de la técnica Process Doppelgänging para llevar el malware más allá de las últimas medidas de seguridad, representa una amenaza muy importante, una que a nadie sorprende, ha sido rápidamente aprovechada rápidamente por los atacantes. Nuestro análisis muestra cómo el ransomware SynAck de perfil relativamente bajo, utilizó esa técnica para actualizar su discreción y capacidad de infección. Afortunadamente, la lógica de detección para este ransomware se implementó antes de que apareciera sobre el terreno”, dijo Anton Ivanov, analista principal de malware, Kaspersky Lab

Entre otras características dignas de mención de la nueva variante de SynAck se incluyen: 

• El troyano ofusca su código ejecutable antes de la compilación, en lugar de empaquetarlo como hace la mayoría de los otros ransomware, lo que dificulta que los investigadores realicen ingeniería inversa y analicen el código malicioso
• También oculta los enlaces a la función API necesaria y almacena los hashes en las cadenas, en lugar de las cadenas mismas.
• Tras la instalación, el troyano revisa el directorio desde el que se inició su ejecutable, y si detecta un intento de inicio desde un directorio incorrecto, como un potencial sandbox automatizado, se cierra.
• El malware también se cierra sin ejecutarse si el PC de la víctima cuenta con un teclado configurado para caracteres cirílicos.
• Antes de cifrar los archivos en un dispositivo de la víctima, SynAck verifica los hashes de todos los procesos y servicios en ejecución contra su propia lista codificada. Si encuentra una coincidencia, intenta parar el proceso.