Menú

Primer ransomware con ‘Process Doppelgänging’ para evadir su detección

¿Qué es Process Doppelgänging?

Unos investigadores de seguridad presentaron por primera vez este proceso en la conferencia Black Hat 2017 y, después, la han utilizado los delincuentes en distintos tipos de malware.

El Process Doppelgänging se basa en algunas características del sistema de archivos NTFS y un cargador de procesos de Windows presente en todas las versiones  y que permite a los desarrolladores generar malware sin archivo para camuflar acciones maliciosas en procesos legítimos e inofensivos.

SynAck ransomware: Desde sus inicios hasta la actualidad.

Se detectó por primera vez en septiembre del 2017, y utilizaba varias técnicas de ofuscación complejas para evitar la ingeniería inversa. Sin embargo, llegaron a descomprimir sus archivos, analizaron y se publicaron toda la información técnica.

Los investigadores de seguridad de Kaspersky Lab, aseguran está siendo usado contra usuarios de EEUU, Kuawait, Alemania e Irán.

Esto es posible porque SynAck analiza la configuración de teclado instalada en el PC del usuario, y antes de cifrar todos los archivos del usuario. SynAck se asegura de tener acceso a los archivos importantes de su objetivo al eliminar algunos procesos que de otra manera mantendrían los archivos en uso y fuera de su alcance.

Modo de infección:

En la mayoría de los casos, SynAck se ha distribuido por fuerza bruta a través de Remote Desktop Protocol, por lo que podemos afirmar que está enfocado a empresas. Por consiguiente, el número limitado de ataque (todos ellos en EE. UU., Kuwait e Irán) confirma esta hipótesis.

En caso de que si se ejecute, al igual que cualquier otro ransomware, SynAck encripta el contenido de cada archivo con el algoritmo AES-256-ECB y proporciona a las víctimas una clave de descifrado hasta que se pongan en contacto con los atacantes y cumplan sus demandas.

message

LegalNoticeCaption y LegalNoticeText en el registro.

 

SynAckAdemás, también es capaz de mostrar una nota en la pantalla de inicio de sesión de Windows modificando las claves

Modo de protegerse:

  • Almacena las copias de seguridad en medios que no estén permanentemente conectados a tu red o a Internet.
  • Si no usas Windows Remote Desktop en tus procesos empresariales, inhabilítala.
  • Actualiza la versión de tu antivirus
  • Te recomendamos los siguientes antivirus: Kaspersky y Bitdefender