2min

Onderzoekers van Kaspersky Lab hebben een nieuwe variant van SynAck ontdekt. Deze ransomware gebruikt de Doppelgänging-techniek om zich te nestelen in legitieme processen. Op deze manier weet de aanval de antivursbeveiliging te omzeilen, een truc die volgens de onderzoekers voor het eerst ‘in het wild’ is waargenomen in combinatie met ransomware.

Bij SynAck vindt er eerst een aanval plaats met behulp van remote desktop protocol, waarna de malware handmatig wordt gedownload en geïnstalleerd. De nieuwe variant gaat verfijnder te werk met de Process Doppelgänging-techniek, dat onder fileless malware valt. Hierbij wordt de code direct in het geheugen geladen, zonder bestand. De code maakt gebruik van een ingebouwde Windows-functie en ongedocumenteerde implementatie van de Windows process loader. Het resulteert in het manipuleren van de manier waarop Windows bestandstransacties verwerkt, zodat kwaadaardige transacties zich voordoen als onschuldige processen.

Andere kenmerken

Daarnaast passen de ontwikkelaars van de nieuwe SynAck-variant nog meer trucjes toe om detectie en analyse te omzeilen. Zo maakt de kwaadaardige software voor de compilatie zijn uitvoerbare code onleesbaar in plaats van hem in te pakken, zoals de meeste ransomware doet. Dit maakt het moeilijker om de code te manipuleren en analyseren. Bovendien kijkt het tijdens de installatie heel goed naar de directory van waaruit de executable wordt gelanceerd. Bij iedere indicatie dat dit een ‘onjuiste’ map is, wordt het programma direct afgebroken. Zo’n indicatie is bijvoorbeeld een mogelijke geautomatiseerde sandbox.

SynAck vergelijkt voordat hij bestanden gaat versleutelen tevens de hashes van alle actieve processen en services met zijn eigen hard-coded lijst. Bij het vinden van een overeenkomst probeert de malware het proces te beëindigen. Mogelijk maakt dit het makkelijker om waardevolle bestanden te pakken te krijgen die anders actief zijn. Het gaat hier om processen als virtual machines, cript-tolken, databaseapplicaties, back-upsystemen en games.

Verder zien de onderzoekers van Kaspersky Lab dat de ransomware de links naar de noodzakelijke API-functie verdoezelt. Het slaat niet de strings zelf op, maar hashes naar de strings. De malware wordt afgebroken indien het toetsenbord van de pc staat ingesteld op het Cyrillische schrift.

Kaspersky Lab heeft tot nu toe een beperkt aantal aanvallen waargenomen in de Verenigde Staten, Koeweit, Duitsland en Iran. De losgelden bedragen daarbij 3000 dollar, omgerekend zo’n 2500 euro.