Overslaan naar hoofdinhoud

Nieuwe variant SynAck ransomware omzeilt beveiliging met geavanceerde Doppelgänging-techniek

7 mei 2018

Onderzoekers van Kaspersky Lab hebben een nieuwe variant van het Trojan-virus SynAck ontdekt.

Utrecht, 7 mei 2018 – Onderzoekers vanKaspersky Labhebben een nieuwe variant van het Trojan-virus SynAck ontdekt. Deze ransomware gebruikt de Doppelgänging-techniek: het virus nestelt zich in legitieme processen en omzeilt zo de antivirusbeveiliging. Het is voor het eerst dat de Doppelgänging-techniek in ransomware ‘in het wild’ is waargenomen. De ontwikkelaars van SynAck passen nog meer trucjes toe om detectie en analyse te omzeilen. Zo wordt voorafgaand aan de compilatie alle malwarcode onleesbaar gemaakt en het programma onmiddellijk afgesloten bij het vermoeden dat het in een sandbox draait.

De SynAck ransomware is sinds het najaar van 2017 bekend. In december werd geconstateerd dat de ransomware het voornamelijk op Engelstalige gebruikers heeft voorzien. Eerst vindt er een ‘xbrute-force’ aanval plaats met behulp van RDP (remote desktop protocol), waarna de malware handmatig wordt gedownload en geïnstalleerd. De nieuwe variant die onderzoekers van Kaspersky Lab hebben ontdekt, gaat veel verfijnder te werk met de Process Doppelgänging-techniek die detectie omzeilt.

De in december 2017 gerapporteerde Process Doppelgänging-techniek valt onder fileless malware. Hierbij wordt de code direct in het geheugen geladen, zonder bestand. De code maakt gebruik van een ingebouwde Windows-functie en ongedocumenteerde implementatie van de Windows process loader. De manier waarop Windows bestandstransacties verwerkt wordt gemanipuleerd. Hierdoor kunnen de kwaadaardige acties zich voordoen als onschuldige, legitieme processen. Zélfs als er een code wordt gebruikt die al bekend is. Doppelgänging laat geen sporen na, wat het buitengewoon moeilijk maakt om dit type indringing te detecteren. Dit is de eerste keer dat er ‘in het wild’ ransomware is ontdekt die deze techniek toepast.

Andere opvallende kenmerken van de nieuwe SynAck-variant:

· De Trojan maakt vóór de compilatie zijn uitvoerbare code onleesbaar in plaats van hem in te pakken, zoals de meeste ransomware doet. Dit maakt het moeilijker om de code te manipuleren en analyseren.

· Het verdoezelt de links naar de noodzakelijke API-functie en slaat niet de strings zelf op, maar hashes naar de strings.

· Tijdens de installatie kijkt de Trojan heel goed naar de directory van waaruit de executable wordt gelanceerd. Bij iedere indicatie dat dit een ‘onjuiste’ map is – bijvoorbeeld een mogelijke geautomatiseerde sandbox – wordt het programma direct afgebroken.

· De malware wordt ook afgebroken als het toetsenbord van de pc staat ingesteld op het Cyrillische schrift.

· Voordat hij bestanden gaat versleutelen, vergelijkt SynAck de hashes van alle actieve processen en services met zijn eigen hard-coded lijst. Als er een overeenkomst wordt gevonden, probeert de malware het proces te beëindigen. Mogelijk maakt dit het makkelijker om waardevolle bestanden te pakken te krijgen die anders actief zijn. Het gaat hier om processen als virtuele machines, kantoortoepassingen, script-tolken, databaseapplicaties, back-upsystemen en games.

De onderzoekers zijn van mening dat aanvallen met deze nieuwe SynAck-variant zeer gericht zijn. Tot nu toe hebben ze een beperkt aantal aanvallen waargenomen in de Verenigde Staten, Koeweit, Duitsland en Iran, met losgelden van 3000 dollar.

"De strijd tussen aanvallers en verdedigers in cyberspace is er een zonder einde”, zegt Jornt van der Wiel, security researcher bij Kaspersky Lab. “Met de Process Doppelgänging-techniek kan malware ongezien door de nieuwste beveiligingsmaatregelen glippen; geen wonder dus dat cybercriminelen hier direct bovenop springen. Ons onderzoek maakt duidelijk dat SynAck, gerichte ransomware die relatief weinig aandacht trekt, de techniek toepast om zijn stealth- en infectievermogen te verbeteren. Gelukkig hebben we de detectielogica geïmplementeerd voordat deze ransomware ‘in het wild’ is opgedoken."

Kaspersky Lab detecteert deze SynAck-variant als:

Trojan-Ransom.Win32.Agent.abwa

Trojan-Ransom.Win32.Agent.abwb

PDM:Trojan.Win32.Generic

Kaspersky Lab raadt de volgende maatregelen aan om gebruikers en apparaten te beschermen tegen ransomware:

· Maak regelmatig een back-up.

· Gebruik een betrouwbare beveiligingsoplossing met gedragsdetectie die schadelijke acties kan terugdraaien.

· Houd de software op al uw apparaten altijd up-to-date.

· Als u een bedrijf bent, zorg dan dat uw werknemers en IT-teams worden bijgeschoold. Houd gevoelige data gescheiden en beperk de toegang hiertoe. Gebruik een gespecialiseerde beveiligingsoplossing, zoals Kaspersky Endpoint Security for Business.

· Mocht u onverhoopt het slachtoffer worden van een encryptor, raak dan niet in paniek. Ga op een schoon systeem naar onze No More Ransom-site. Hier kunt u wellicht een decoderingstool vinden die u kan helpen uw bestanden terug te krijgen.

Lees onze blogpost op Securelist.com voor meer informatie over de nieuwe nepvariant van SynAck.

Nieuwe variant SynAck ransomware omzeilt beveiliging met geavanceerde Doppelgänging-techniek

Onderzoekers van Kaspersky Lab hebben een nieuwe variant van het Trojan-virus SynAck ontdekt.
Kaspersky logo

Over Kaspersky

Kaspersky is een internationaal bedrijf dat is opgericht in 1997 en dat is gespecialiseerd in cyberbeveiliging en digitale privacy. Dankzij de uitgebreide bedreigingsintelligentie en beveiligingsexpertise van Kaspersky zijn tot nu toe meer dan een miljard apparaten beschermd tegen opkomende cyberbedreigingen en gerichte aanvallen. Kaspersky transformeert voortdurend haar innovatieve oplossingen en diensten om bedrijven, kritieke infrastructuren, overheden en consumenten wereldwijd te beschermen. Onder het allesomvattende beveiligingsportfolio van Kaspersky vallen toonaangevende endpointbescherming, gespecialiseerde beveiligingsproducten en diensten, evenals Cyber Immune-oplossingen waarmee geavanceerde en evoluerende digitale bedreigingen kunnen worden bestreden. We helpen meer dan 200.000 zakelijke klanten te beschermen wat het belangrijkste voor ze is. Meer informatie vind je op www.kaspersky.nl.

Verwant artikel Information