Kaspersky Lab odhalila novou variantu ransomwaru SynAck

17. května 2018 – Odborníci Kaspersky Lab odhalili novou variantu ransomwarového trojana SynAck. Využívá Doppelgänging techniku, díky níž je ransomware schopen obejít antivirové zabezpečení zařízení. Prostřednictvím této techniky, kterou odborníci u ransomwaru zaznamenali poprvé, schovají kyberzločinci svou zákeřnou aktivitu za oprávněné procesy. Hackeři stojící za SynAck využívají i další triky, aby se vyhnuli detekování. Ještě před kompilací vzorků veškerý malwarový kód skryjí a v případě, že mají podezření na testování prostřednictvím sandboxu, daný systém opustí.

Ransomware SynAck se objevil na podzim minulého roku a v průběhu prosince útočil na převážně anglofonní uživatele. K poměrně agresivním útokům využíval síťový protokol remote desktop protocol (RDP), po jehož iniciaci následovalo manuální stažení a instalace malwaru. Nová varianta objevená odborníky Kaspersky Lab však využívá sofistikovanější metody, kdy se pomocí techniky Process Doppelgänging vyvaruje své detekci.

Technika Process Doppelgänging zahrnuje bezsouborovou injektáž kódu, která využívá zabudované Windowsové funkce a neoprávněnou implementaci systémové komponenty označované jako Windows process loader. Manipulací s tím, jak Windows zpracovává soubory, mohou útočníci do systému dostat škodlivé aktivity. Ty tímto způsobem vydávají za neškodné, i když používají běžně známé škodlivé kódy. Doppelgänging po sobě nezanechává žádné stopy, což velmi znesnadňuje jeho detekování. Využití této techniky bylo u ransomwaru pozorováno vůbec poprvé.

Mezi další zajímavé charakteristiky nové varianty ransomwaru SynAck patří:

  • Trojský kůň dokáže skrýt svůj spustitelný kód před kompilací (na rozdíl od většiny ransomwarů), což znemožňuje bezpečnostním odborníků provést reverzní inženýrství a analyzovat škodlivý kód.
  • SynAck také zakrývá odkazy na API funkce.
  • Po instalaci trojan přezkoumá adresář, ze kterého je spuštěn jeho spustitelný soubor, a pokud zaznamená pokus o jeho spuštění z „nesprávného“ adresáře – například potenciálního automatizovaného sandboxu – sám se vymaže.
  • Malware se také vymaže, pokud je klávesnice oběti nastavená na azbuku.
  • Před zašifrováním souborů na napadeném počítači SynAck porovná hashe všech běžících procesů a služeb se svým hard-coded listem. Pokud nalezne nějakou shodu, pokusí se daný proces zastavit. Mezi takto zablokované procesy patří virtuální stroje, kancelářské aplikace, script interpreters, databázové aplikace, zálohovací systémy, hry a další. Kyberzločinci si tím usnadňují získání cenných souborů, které by jinak byly vázány na běžící procesy.

Kyberbezpečnostní odborníci jsou přesvědčeni, že útoky využívající novou variantu SynAck jsou velmi dobře zacílené. Doposud zaznamenali několik útoků na území Spojených států, Kuvajtu, Německa a Íránu. Kyberzločinci po obětech vyžadovali výkupné ve výši 3 000 dolarů (zhruba 64 000 Kč).

Společnost Kaspersky Lab detekuje tuto variantu ransomwaru SynAck jako:

Trojan-Ransom.Win32.Agent.abwa

Trojan-Ransom.Win32.Agent.abwb

PDM:Trojan.Win32.Generic

Aby uživatelé chránili svá zařízení před ransomwarem, doporučují odborníci následující opatření:

  • Pravidelně zálohujte svá data.
  • Používejte účinné bezpečnostní řešení, které nabízí behaviorální detekci hrozeb.
  • Vždy aktualizujte software na všech zařízeních.
  • Firmy by měly proškolit své zaměstnance a IT týmy. Zároveň je nutné mít citlivá data uložena separátně a omezit k nim přístup.
  • Pokud se stanete obětí šifrátoru, není důvod k panice. V mnoha případech vám pomohou programy „system clean“, které můžete najít například na stránce iniciativy No More Ransom.

Více informací o nové variantě SynAck se dozvíte na blogu Securelist.com.

O společnosti Kaspersky Lab

Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností již více než 20 let. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb nové generace zaměřených na ochranu podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.

Reklamy