SynAck ransomware: Todo un doppelgängster

Esta nueva versión del ransomware SynAck usa técnicas de evasión sofisticadas.

El malware siempre evoluciona, los ciberdelincuentes añaden nuevas funciones y técnicas para evitar la detección de los programas antivirus. A veces, la evolución es muy rápida. Por ejemplo, el ransomware SynAck, que salió a la luz en septiembre del 2017 (cuando no era tan ingenioso), ha evolucionado a una amenaza mas sofisticada que evita la detección con una efectividad sin precedentes a través de una nueva técnica llamada Process Doppelgänging.

Ataque furtivo

Normalmente, los creadores de malware utilizan la ofuscación (para generar un código ilegible y que los antivirus no reconozcan el malware) mediante un software especial para ese propósito. Sin embargo, los desarrolladores de antivirus lo han pillado y ahora sus programas los detectan sin ningún esfuerzo. Los desarrolladores de SynAck se han decantado por otro método que requería más esfuerzos por ambas partes: ofuscaban cuidadosamente el código antes de compilarlo, lo que dificulta la detección por parte de las soluciones de seguridad.

Esta no es la única técnica de evasión que utiliza la nueva versión de SynAck, sino que además es el primer ransomware detectado que usa el Process Doppelgänging. Unos investigadores de seguridad presentaron por primera vez este proceso en la conferencia Black Hat 2017 y, después, la han utilizado los delincuentes en distintos tipos de malware.

El Process Doppelgänging se basa en algunas características del sistema de archivos NTFS y un cargador de procesos de Windows presente en todas las versiones desde Windows XP y que permite a los desarrolladores generar malware sin archivo para camuflar acciones maliciosas en procesos legítimos e inofensivos. La técnica es compleja, si quieres saber más sobre el tema, echa un vistazo al artículo más detallado de Securelist sobre este tema.

SynAck cuenta con otras dos características notables. En primer lugar, comprueba si se ha instalado en el directorio correcto. Si no, no se ejecuta para evitar la detección de los diferentes mecanismos de aislamiento de proceso automático que emplean las soluciones de seguridad. En segundo lugar, SynAck comprueba si está instalado en un ordenador con un teclado configurado para una secuencia de comandos en concreto (Cyrillic en este caso) y, entonces, tampoco haría nada. Se trata de una técnica muy común para restringir el malware a regiones específicas.

El delito común

Desde la perspectiva del usuario, SynAck es otro ransomware más, famoso por su elevada demanda, 3000 dólares. Antes de cifrar todos los archivos del usuario, SynAck se asegura de tener acceso a los archivos importantes de su objetivo al eliminar algunos procesos que de otra manera mantendrían los archivos en uso y fuera de su alcance.

El mensaje del rescate y las instrucciones de contacto aparecen en la pantalla de inicio. Por desgracia, SynAck usa un algoritmo de cifrado fuerte sin imperfecciones, por lo que no hay forma de descifrar los archivos.

En la mayoría de los casos, SynAck se ha distribuido por fuerza bruta a través de Remote Desktop Protocol, por lo que podemos afirmar que está enfocado a empresas. Por consiguiente, el número limitado de ataque (todos ellos en EE. UU., Kuwait e Irán) confirma esta hipótesis.

Preparación para el ransomware de última generación

Aunque SynAck no vaya a por ti, su existencia es un signo claro de que el ransomware está evolucionando, cada vez es más sofisticado y más eficaz. Las herramientas para descifrar archivos aparecerán con menos frecuencia a medida que los delincuentes detecten los errores que posibilitaron la creación de estos descifradores. Y a pesar de que los mineros ocultos parecen haberle comido terreno (como predijimos), el ransomware sigue siendo una tendencia global y todos los usuarios de Internet deberían aprender a protegerse contra estas amenazas.

Te dejamos algunos consejos que te pueden ayudar a evitar la infección o a minimizar las consecuencias si fuera necesario.

  • Realiza copias de seguridad de forma regular. Almacena las copias de seguridad en medios que no estén permanentemente conectados a tu red o a Internet.
  • Si no usas Windows Remote Desktop en tus procesos empresariales, inhabilítala.
  • Usa una buena solución de seguridad con un cortafuegos incorporado y componentes antiransomware específicos, como Kaspersky Small Office Security para pequeñas empresas o Kaspersky Endpoint Security for Business para grandes empresas. Los productos de Kaspersky Lab detectan SynAck a pesar de sus tácticas de evasión.
  • Si ya tienes otra solución de seguridad instalada, puedes instalar Kaspersky Anti-Ransomware Tool, gratuito y compatible con los paquetes de seguridad de otros proveedores.
Consejos