Een nieuwe variant van het Trojan-virus SynAck is ontdekt. De ransomware maakt gebruikt van de Doppelgänging-techniek, waarbij het virus zich in legitieme processen nestelt en zo de antivirusbeveiliging omzeilt. Het is voor het eerst dat de Doppelgänging-techniek in ransomware ‘in het wild’ is waargenomen. Ook andere trucjes worden toegepast om detectie en analyse te omzeilen. Zo wordt voorafgaand aan de compilatie alle malwarcode onleesbaar gemaakt en het programma onmiddellijk afgesloten bij het vermoeden dat het in een sandbox draait.
Dit blijkt uit onderzoek van Kaspersky Lab. De SynAck ransomware is sinds het najaar van 2017 bekend. In december werd geconstateerd dat de ransomware het voornamelijk op Engelstalige gebruikers heeft voorzien. Eerst vindt er een brute force aanval plaats met behulp van RDP (remote desktop protocol), waarna de malware handmatig wordt gedownload en geïnstalleerd. De nieuwe variant die onderzoekers van Kaspersky Lab hebben ontdekt, gaat veel verfijnder te werk met de Process Doppelgänging-techniek die detectie omzeilt.
De in december 2017 gerapporteerde Process Doppelgänging-techniek valt onder fileless malware. Hierbij wordt de code direct in het geheugen geladen, zonder bestand. De code maakt gebruik van een ingebouwde Windows-functie en ongedocumenteerde implementatie van de Windows process loader. De manier waarop Windows bestandstransacties verwerkt wordt gemanipuleerd. Hierdoor kunnen de kwaadaardige acties zich voordoen als onschuldige, legitieme processen, zelfs als er een code wordt gebruikt die al bekend is. Doppelgänging laat geen sporen na, wat het buitengewoon moeilijk maakt om een inbreuk van dit type te detecteren. Dit is de eerste keer dat er ‘in het wild’ ransomware is ontdekt die deze techniek toepast.
Andere opvallende kenmerken van de nieuwe SynAck-variant:
De onderzoekers zijn van mening dat aanvallen met deze nieuwe SynAck-variant zeer gericht zijn. Tot nu toe hebben ze een beperkt aantal aanvallen waargenomen in de Verenigde Staten, Koeweit, Duitsland en Iran, met losgelden van 3000 dollar.
"De strijd tussen aanvallers en verdedigers in cyberspace is er een zonder einde”, zegt Anton Ivanov, Lead Malware Analyst bij Kaspersky Lab. “Met de Process Doppelgänging-techniek kan malware ongezien door de nieuwste beveiligingsmaatregelen glippen; geen wonder dus dat cybercriminelen hier direct bovenop springen. Ons onderzoek maakt duidelijk dat SynAck, gerichte ransomware die relatief weinig aandacht trekt, de techniek toepast om zijn stealth- en infectievermogen te verbeteren. Gelukkig hebben we de detectielogica geïmplementeerd voordat deze ransomware ‘in het wild’ is opgedoken."
Kaspersky Lab detecteert deze SynAck-variant als:
Kaspersky Lab raadt de volgende maatregelen aan om gebruikers en apparaten te beschermen tegen ransomware:
Meer informatie over de nieuwe ransomware variant is beschikbaar op Securelist.com.