adacze z Kaspersky Lab wykryli nowy wariant trojana ransomware o nazwie SynAck, który wykorzystuje technikę tworzenia sobowtórów procesów w celu obejścia ochrony antywirusowej poprzez ukrywanie się w legalnych zasobach. Jest to pierwszy znany przypadek wykorzystania tej techniki w szkodliwym kodzie dystrybuowanym w internecie. Twórcy SynAck stosują również inne sztuczki w celu uniknięcia wykrycia i analizy.
Oprogramowanie ransomware SynAck znane jest od jesieni 2017 r. W grudniu jego celem byli głównie użytkownicy anglojęzyczni. Wykryty przez badaczy z Kaspersky Lab nowy wariant jest znacznie bardziej wyrafinowany.
Technika tworzenia sobowtórów procesów (Process Doppelgänging), którą przedstawiono w grudniu 2017 r., polega na wstrzykiwaniu kodu bezplikowego, który wykorzystuje wbudowaną funkcję systemu Windows oraz nieudokumentowaną implementację modułu ładującego procesy w tym systemie operacyjnym. Poprzez manipulowanie sposobem obsługiwania transakcji plików przez system Windows atakujący mogą sprawić, aby niebezpieczne działania wyglądały na nieszkodliwe, legalne procesy, nawet jeśli wykorzystują znany szkodliwy kod. Omawiana technika nie pozostawia żadnego widocznego śladu, przez co tego rodzaju ingerencja jest niezwykle trudna do wykrycia. Jest to pierwsze oprogramowanie ransomware zaobserwowane na wolności, które wykorzystuje tę technikę.
Inne istotne cechy nowej wersji trojana SynAck:
- W przeciwieństwie do większości programów ransomware, które pakują swój kod wykonywalny, trojan zaciemnia go, utrudniając badaczom odtworzenie i analizę szkodliwego kodu.
- Szkodnik zaciemnia również odsyłacze do niezbędnej funkcji API i zamiast właściwych ciągów przechowuje ich skróty.
- Po instalacji trojan sprawdza katalog, z którego uruchamiany jest jego plik wykonywalny, i jeśli zauważy próbę uruchomienia go z „niewłaściwego” katalogu – takiego jak potencjalna zautomatyzowana piaskownica wykorzystywana przez analityka – kończy działanie.
- Szkodnik kończy również działanie bez wykonania, jeśli na klawiaturze komputera ofiary ustawiono stosowanie cyrylicy.
- Przed zaszyfrowaniem plików na urządzeniu ofiary SynAck porównuje skróty wszystkich uruchomionych procesów i usług z własną zakodowaną na stałe listą. Jeśli znajdzie dopasowanie, próbuje zakończyć proces. Zablokowane w ten sposób procesy dotyczą maszyn wirtualnych, aplikacji biurowych, interpreterów skryptów, aplikacji baz danych, systemów zapasowych, gier i innych – prawdopodobnie w celu ułatwienia przechwycenia cennych plików, które w przeciwnym razie mogłyby zostać zablokowane w uruchomionych procesach.
Badacze uważają, że ataki z użyciem nowej wersji szkodnika SynAck są ściśle ukierunkowane. Jak dotąd zaobserwowano ograniczoną liczbę ataków w Stanach Zjednoczonych, Kuwejcie, Niemczech i Iranie, w których żądano okupu w wysokości 3 tys. dolarów amerykańskich.
– Wyścig między tymi, którzy przeprowadzają ataki w cyberprzestrzeni, oraz tymi, którzy bronią przed nimi, nie ma końca. Technika Process Doppelgänging pozwala szkodliwemu oprogramowaniu obejść najnowsze środki bezpieczeństwa — co stanowi istotne zagrożenie — i dość szybko została zaadoptowana przez cyberprzestępców. Nasze badanie pokazuje, jak SynAck, stosunkowo nieznane ukierunkowane oprogramowanie ransomware, wykorzystało tę technikę do udoskonalenia swoich możliwości infekowania i pozostawania niewidocznym. Na szczęście logika wykrywania tego oprogramowania ransomware została zaimplementowana, zanim pojawiło się ono na wolności – powiedział Anton Iwanow, czołowy analityk szkodliwego oprogramowania, Kaspersky Lab.
Kaspersky Lab wykrywa nową wersję oprogramowania ransomware SynAck jako: Trojan-Ransom.Win32.Agent.abwa, Trojan-Ransom.Win32.Agent.abwb oraz PDM:Trojan.Win32.Generic.
Firma zaleca następujące działania, pozwalające ochronić użytkowników i urządzenia przed oprogramowaniem ransomware:
- Regularnie wykonuj kopię zapasową danych.
- Stosuj niezawodne rozwiązanie bezpieczeństwa, które jest wyposażone w wykrywanie zagrożeń na podstawie zachowania procesów w systemie i potrafi wycofywać szkodliwe działania.
- Pamiętaj o aktualizacji oprogramowania na wszystkich urządzeniach, z których korzystasz.
- W przypadku firm istotna jest edukacja pracowników oraz zespołów IT, jak również przechowywanie krytycznych danych w osobnym miejscu z ograniczonym dostępem. Należy również stosować wyspecjalizowane rozwiązanie bezpieczeństwa, np. Kaspersky Endpoint Security for Business.
- Jeśli padniesz ofiarą oprogramowania szyfrującego dane, nie wpadaj w panikę. Wykorzystując niezainfekowany system, sprawdź naszą stronę No More Ransom – być może znajdziesz na niej narzędzie deszyfrujące, które pomoże Ci odzyskać pliki.