SynAck-Ransomware: Der Doppelgängster

8 Mai 2018

Um zu verhindern, dass Malware von heutigen AV-Programmen entdeckt wird, statten ihre Entwickler sie kontinuierlich mit neuen Techniken und Funktionen aus. Meist erfolgt diese Entwicklung relativ schnell. Die Ransomware SynAck, die seit September 2017 bekannt ist, wurde vor kurzem überholt und konnte sich so zu einer sehr anspruchsvollen Bedrohung, die ihre Erkennung mit beispielloser Effektivität vermeidet und sich einer neuen Technik namens Process Doppelgänging bedient, entwickeln.

Hinterhältiger Angriff

Malware-Entwickler machen sich sehr häufig die Methode der Code-Obfuskation zunutze, bei der sie typischerweise mit spezieller Packaging-Software für diesen Zweck arbeiten. Obfuskation beschreibt die absichtliche Veränderung von Programmcode. Antivirus-Entwickler haben sich allerdings bereits an diese Methode gewöhnt, weshalb es für Antivirussoftware mittlerweile kein Problem mehr darstellt, solche Pakete zu entpacken. Die Entwickler hinter SynAck haben einen anderen Weg gewählt, der von beiden Seiten mehr Aufwand erfordert: sie verschleiern den Code vor dem Kompilieren, was die Erkennung für Sicherheitslösungen erheblich erschwert.

Das ist aber nicht die einzige Verschleierungstechnik, die die aktualisierte Variante von SynAck verwendet. Darüber hinaus nutzt die Ransomware eine relativ komplizierte Process-Doppelgänging-Technik – die erste Ransomware ihrer Spezies, die in freier Wildbahn gesichtet wurde. Process Doppelgäging wurde erstmals auf der Black Hat 2017 von Sicherheitsforschern vorgestellt, danach von Kriminellen aufgegriffen und in verschiedenen Malware-Varianten eingesetzt.

Mit „Process Doppelgänging“ ist eine dateilose Code-Injektion gemeint, die eine Windows-eigene Funktion und eine nicht dokumentierte Implementierung des Windows Process Loaders nutzt. Durch eine Manipulation des Datei-Handlings unter Windows können Angreifer ihre schädlichen Aktionen unter dem Deckmantel harmloser, legitimer Prozesse ablaufen lassen. Um mehr über den komplexen Prozess zu erfahren, sollten Sie einen Blick auf unseren ausführlichen Bericht auf Securelist werfen.

SynAck hat zwei weitere bemerkenswerte Funktionen. Zunächst überprüft die Malware, ob sie im richtigen Dateiverzeichnis installiert wurde. Ist das nicht der Fall und der Startversuch erfolgt beispielsweise aus einer möglichen automatisierten Sandbox heraus, wird der Prozess sofort abgebrochen. Darüber hinaus bricht die Malware ihre Aktivität auch ab, falls der PC des Opfers eine kyrillische Tastatur haben sollte. Diese Technik dient für gewöhnlich dazu, Malware auf bestimmte Regionen zu beschränken.

Keine Entschlüsselung für SynAck

Aus der Sicht des Nutzers wird SynAck lediglich als eine weitere Ransomware angesehen; vor allem wegen der Lösegeldforderung in Höhe von 3.000 USD. Vor dem Verschlüsseln der Dateien eines Benutzers stellt die Malware sicher, dass ihr der Zugriff auf wichtige Dateiziele gewährleistet ist, indem SynAck einige Prozesse beendet.

Dem Opfer erscheint die Lösegeldforderung inklusive genauerer Anweisungen auf dem Anmeldebildschirm. Leider verwendet SynAck einen starken Verschlüsselungsalgorithmus. In seiner Implementierung wurden bisher keine Fehler gefunden, sodass es momentan noch keine Möglichkeit gibt, die verschlüsselten Dateien wiederherzustellen.

Wir haben festgestellt, dass SynAck hauptsächlich über das Remote-Desktop-Protokoll vertrieben wird, was bedeutet, dass die Malware hauptsächlich auf Geschäftsanwender ausgerichtet ist. Die bisher begrenzte Anzahl von Angriffen – allesamt in den USA, in Kuwait und im Iran – bestätigt diese Hypothese.

Die nächste Generation der Ransomware

Selbst wenn Sie nicht zum Zielobjekt der Malware werden sollten, ist SynAcks bloße Existenz ein deutliches Zeichen dafür, dass sich Ransomware weiterentwickelt und immer ausgefeilter und der Schutz vernetzter Geräte immer schwieriger wird. Es werden immer seltener Decryptor-Dienstprogramme erscheinen, da Angreifer lernen, die Fehler zu vermeiden, die die Erstellung dieser Entschlüsseler möglich machen. Und obwohl Miner momentan auf dem Vormarsch sind (genau, wie wir es vorhergesagt haben), ist Ransomware immer noch ein großer globaler Trend. Deshalb ist es für jeden Internetnutzer ein Muss zu wissen, wie man sich vor all diesen Bedrohungen schützen kann.

Hier sind einige Tipps, die Ihnen helfen können, Infektionen zu vermeiden oder mögliche Folgen zu minimieren.

  • Führen Sie regelmäßige Back-ups durch;
  • Deaktivieren Sie Windows Remote Desktop, falls es nicht für Ihre Unternehmensprozesse benötigt wird;
  • Verwenden Sie eine gute Sicherheitslösung mit einer integrierten Firewall und speziellen Antitransomware-Komponenten wie Kaspersky Small Office Security für kleine Unternehmen oder Kaspersky Endpoint Security für größere Unternehmen. Die Produkte von Kaspersky Lab erkennen SynAck trotz seiner Verschleierungstechniken;
  • Wenn Sie bereits eine andere Sicherheitslösung installiert haben, können Sie das Kaspersky Anti-Ransomware Tool installieren, das kostenlos und kompatibel mit Sicherheitslösungen anderer Anbieter ist.