Experten von Kaspersky Lab haben eine neue Variante des Ransomware-Trojaners ,SynAck‘ entdeckt [1]. Diese nutzt erstmalig ,in the wild‘ die so genannte ,Process Doppelgänging‘-Technik [2], um als scheinbar legitimer Prozess von Antivirus-Lösungen zunächst nicht als Malware erkannt zu werden. Die SynAck-Entwickler verwenden noch weitere Tricks, um die Erkennung und Analyse der Malware zu erschweren. So wird der Malware-Code vor der Kompilierung des Samples verschleiert und der Prozess sofort beendet, falls Indizien auf eine Ausführung in einer Sandbox hinweisen.
Die SynAck-Ransomware ist seit Herbst 2017 bekannt und hatte im Dezember vorwiegend englischsprachige Anwender über Brute-Force-Angriffe über das Remote-Desktop-Protokolls (RDP) attackiert; wobei im Anschluss die Malware manuell heruntergeladen und installiert wurde [3]. Die jetzt durch Kaspersky Lab aufgedeckte Variante verfolgt einen weitaus raffinierteren Ansatz und nutzt ,Process Doppelgänging‘ als Verschleierungstechnik.
Die Experten von Kaspersky Lab gehen davon aus, dass die neue Variante von SynAck für hochgradig gezielte Angriffe genutzt wird. Bis heute wurde eine begrenzte Anzahl von Angriffen in den USA, Kuwait, Deutschland und im Iran beobachtet, wobei sich die Lösegeld-Forderungen auf 3.000 US-Dollar beliefen.
„Der Wettlauf zwischen Angreifern und Verteidigern im Cyberspace wird niemals aufhören. Die Möglichkeit des ,Process Doppelgänging‘, mit der Malware an aktuellen Sicherheitslösungen vorbeigeschleust werden kann, stellt eine bedeutende Gefahrenquelle dar“, warnt Anton Ivanov, Lead Malware Analyst bei Kaspersky Lab. „Es überrascht nicht, dass sich Angreifer dieser Methode schnell bemächtigt haben. Unsere Untersuchung zeigt, wie die zunächst wenig zielgerichtete Ransonware SynAck mit Hilfe dieser Technik ihre Fähigkeiten, sich zu verschleiern und Rechner zu infizieren, drastisch verbessern konnte. Glücklicherweise war die Erkennungslogik für diese Ransomware bereits implementiert, bevor sie ,in the wild‘ auftauchte.“
Wie SynAck die Doppelgängig-Technik nutzt
Weitere Besonderheiten der SynAck-Variante sind:
Kaspersky Lab erkennt die verschiedenen Varianten von SynAck als
Kaspersky Lab: Schutzmaßnahmen
Die Kaspersky-Experten empfehlen folgende Maßnahmen, mit denen Anwender ihre Geräte vor Ransomware schützen können:
Mehr Informationen über die verdeckt arbeitende SynAck-Variante enthält der folgende Blogeintrag: https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/
[1]https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/
[2] Die Technik des Process Doppelgänging wurde erstmals von Tal Liberman und Eugene Kogan im Dezember 2017 auf der Blackhat-Konferenz in London vorgestellt.
[3]https://www.bleepingcomputer.com/news/security/synack-ransomware-sees-huge-spike-in-activity/
[5]https://www.kaspersky.de/small-to-medium-business-security
[6]https://www.nomoreransom.org/de/index.html
Website No More Ransom: https://www.nomoreransom.org/de/index.html