Ingannare i sistemi di sicurezza? SynAck ce la fa!

Ingannare i sistemi di sicurezza? Il ransomware SynAck ce la fa!

Kaspersky Lab ha scoperto che una sofisticata tecnica di Doppelgänging - primo caso di rilevamento di utilizzo di questa tecnica in un ransomware -messa a punto dal nuovo ransomware Trojan SynAck riesca ad ingannare i dispositivi anti-virus. Infatti i ricercatori di Kaspersky Lab hanno intercettato la tecnica di Doppelgänging di Trojan SynAck in grado di bypassare i dispositivi anti-virus di sicurezza, nascondendosi dietro l’esecuzione di programmi legittimi.

Il ransomware SynAck è noto dall’autunno del 2017; a dicembre sono stati analizzati degli attacchi aggressivi, con Remote Desktop Protocol (RDP), che avevano come obiettivo utenti per lo più di lingua inglese; a questi attacchi sono seguiti download manuali e installazioni di malware. Individuato a dicembre 2017, il Process Doppelgänging prevede l’inserimento di un codice fileless che sfrutta una funzione Windows integrata e un'implementazione non documentata del Process Loader di Windows. Manipolando il modo in cui Windows stesso gestisce i passaggi dei file, gli autori di attacchi possono far passare azioni malevole come processi innocui e legittimi, anche se utilizzano un codice dannoso conosciuto.

Anton Ivanov, Lead Malware Analyst di Kaspersky Lab
Nel cyberspazio la competizione tra autori di attacchi e difensori è senza fine: nella tecnica del Process Doppelgänging la capacità di sottrarre i malware alle ultime misure di sicurezza rappresenta una minaccia significativa; minaccia che, ovviamente, è stata subito sfruttata dai criminali. La nostra ricerca mostra come un ransomware come SynAck, di profilo relativamente basso, sia stato in grado di utilizzare questa tecnica per migliorare le sue capacità di occultamento e infezione. Per fortuna, la logica di rilevamento legata ai questo ransomware è stata implementata prima che si manifestasse.

Vediamo altre caratteristiche degne di nota della nuova variante di SynAck:

-Il Trojan offusca il suo codice eseguibile prima della compilazione, invece che comprimerlo come fanno la maggior parte degli altri ransomware; in questo modo per i ricercatori è più difficile effettuare il processo di reverse engineering e analizzare il codice dannoso.
-Oscura anche i link alla funzione API necessaria e archivia hash in stringhe al posto delle stringhe attuali.
-Al momento dell'installazione, il Trojan esamina la directory da cui è stato avviato il suo eseguibile e, se rileva un tentativo di avvio da una directory “errata", come una potenziale sandbox automatica, esce dall’installazione.
-Prima di crittografare i file sul dispositivo attaccato, SynAck controlla le funzioni hash di tutti i processi e i servizi in esecuzione, mettendole a confronto con la propria lista codificata. Se individua una corrispondenza, cerca di interrompere il processo. I processi bloccati in questo modo includono macchine virtuali, applicazioni office, script interpreter, database application, sistemi di backup, applicazioni legate al gaming e altro ancora.

I ricercatori ritengono che gli attacchi che utilizzano questa nuova variante di SynAck siano altamente mirati.

Kaspersky Lab rileva questa variante del ransomware SynAck come:
Trojan-Ransom.Win32.Agent.abwa
Trojan-Ransom.Win32.Agent.abwb
PDM:Trojan.Win32.Generic

Kaspersky Lab raccomanda di fare ciò che segue in modo da proteggere utenti e dispositivi da eventuali attacchi ransomware:
- Fare regolarmente il back up dei dati;
- Usare una soluzione di sicurezza affidabile, con capacità di rilevamento behaviour-based e di ridimensionamento delle eventuali azioni malevole;
- Assicurarsi di avere tutti i software aggiornati su tutti i dispositivi in uso.

Nel caso di un’azienda, è necessario educare i dipendenti e i team IT; è importante poi assicurarsi di tenere i dati sensibili separati e con accesso limitato. È possibile usare una soluzione di sicurezza dedicata, come Kaspersky Endpoint Security for Business.

Se si è così sfortunati da essere colpiti da un encryptor, non abbiate paura e provate ad utilizzare un sistema di cleaning disponibile sul nostro sito No More Ransom; qui potete trovare tool di decriptazione che possono aiutare a recuperare i propri file.