Descubierta una nueva variante del ransomware SynAck
- Actualidad
Los analistas de Kaspersky Lab han descubierto una nueva variante de este ransomware, cuya actividad fue identificada el pasado otoño. Ahora, al utilizar la técnica Process Deppelgänging para evitar la detección, tiene un enfoque mucho más sofisticado.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
El ransomware SynAck se conoce desde otoño de 2017 y, en diciembre del pasado añom se pudo observar cómo se dirigía contra usuarios de habla inglesa, mediante ataques de fuerza bruta RDP (Remote Desktop Protocol), seguidos de la descarga manual y la instalación del malware. La nueva variante descubierta por los analistas de Kaspersky Lab utiliza un enfoque mucho más sofisticado al utilizar la técnica Process Doppelgänging para evitar la detección.
Process Doppelgänging implica una inyección de código sin archivos que aprovecha una función Windows incorporada y una implementación no documentada del cargador de procesos de Windows. Al manipular las transacciones de archivos en modo similar a como lo hace Windows, los ciberdelincuentes pueden simular sus acciones maliciosas como si fueran procesos legítimos e inofensivos, aún en el caso de que estuvieran usando un código malicioso conocido. Doppelgänging no deja evidencia rastreable, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar. Esta es la primera vez que se ha observado ransomware utilizar esta técnica.
Entre otras características dignas de mención de la nueva variante de SynAck se incluyen:
- El troyano ofusca su código ejecutable antes de la compilación, en lugar de empaquetarlo como hace la mayoría de los otros ransomware, lo que dificulta que los investigadores realicen ingeniería inversa y analicen el código malicioso
- También oculta los enlaces a la función API necesaria y almacena los hashes en las cadenas, en lugar de las cadenas mismas.
- Tras la instalación, el troyano revisa el directorio desde el que se inició su ejecutable, y si detecta un intento de inicio desde un directorio incorrecto, como un potencial sandbox automatizado, se cierra.
- El malware también se cierra sin ejecutarse si el PC de la víctima cuenta con un teclado configurado para caracteres cirílicos.
- Antes de cifrar los archivos en un dispositivo de la víctima, SynAck verifica los hashes de todos los procesos y servicios en ejecución contra su propia lista codificada. Si encuentra una coincidencia, intenta parar el proceso. Los procesos así bloqueados, incluyen máquinas virtuales, aplicaciones office, intérpretes de script, aplicaciones de bases de datos, sistemas de respaldo, aplicaciones de juegos y otras, posiblemente para que sea más fácil capturar archivos valiosos que, de otro modo, podrían estar vinculados a los procesos en ejecución.
Los analistas creen que los ataques que utilizan esta nueva variante de SynAck son muy concretos. Hasta ahora, solo se han observado un número limitado de ataques en EE.UU., Kuwait, Alemania e Irán, con peticiones de rescate de 3.000 dólares (aprox. 2500€).
Kaspersky Lab recomienda las siguientes acciones para mantener a usuarios y dispositivos a salvo del ransomware:
- Hacer backup de datos con regularidad.
- Usar una solución de seguridad fiable, con detección de comportamiento y capaz de deshacer acciones maliciosas.
- Mantener el software siempre actualizado en todos los dispositivos utilizados.
- Si es empresa, es necesario educar a los empleados y a los equipos TI y mantener los datos confidenciales separados y con acceso restringido. Es muy conveniente contar con una solución de seguridad especializada.
Por último, si ha tenido la mala suerte de convertirte en víctima de un cifrador, no se asuste. Según la firma de seguridad, utilice un dispositivo o equipo limpio para consultar nuestro sitio “No More Ransom“, donde es posible que encuentre una herramienta de descifrado que puede ayudarlo a recuperar sus archivos.