{"id":16652,"date":"2018-05-08T14:05:44","date_gmt":"2018-05-08T12:05:44","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=16652"},"modified":"2018-09-18T14:48:43","modified_gmt":"2018-09-18T12:48:43","slug":"synack-ransomware-featured","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/synack-ransomware-featured\/16652\/","title":{"rendered":"SynAck-Ransomware: Der Doppelg\u00e4ngster"},"content":{"rendered":"

Um zu verhindern, dass Malware von heutigen AV-Programmen entdeckt wird, statten ihre Entwickler sie kontinuierlich mit neuen Techniken und Funktionen aus. Meist erfolgt diese Entwicklung relativ schnell. Die Ransomware SynAck, die seit September 2017 bekannt ist, wurde vor kurzem \u00fcberholt und konnte sich so zu einer sehr anspruchsvollen Bedrohung, die ihre Erkennung mit beispielloser Effektivit\u00e4t vermeidet und sich einer neuen Technik namens Process Doppelg\u00e4nging<\/em> bedient, entwickeln.\"\"<\/a><\/p>

Neue Variante der #SynAck-Ransomware trickst Sicherheitsl\u00f6sungen \u00fcber die raffinierte Doppelg\u00e4nging-Technik aus.<\/p>Tweet<\/a><\/blockquote>\n

Hinterh\u00e4ltiger Angriff<\/h2>\n

Malware-Entwickler machen sich sehr h\u00e4ufig die Methode der Code-Obfuskation zunutze, bei der sie typischerweise mit spezieller Packaging-Software f\u00fcr diesen Zweck arbeiten. Obfuskation beschreibt die absichtliche Ver\u00e4nderung von Programmcode. Antivirus-Entwickler haben sich allerdings bereits an diese Methode gew\u00f6hnt, weshalb es f\u00fcr Antivirussoftware mittlerweile kein Problem mehr darstellt, solche Pakete zu entpacken. Die Entwickler hinter SynAck haben einen anderen Weg gew\u00e4hlt, der von beiden Seiten mehr Aufwand erfordert: sie verschleiern den Code vor dem Kompilieren<\/em>, was die Erkennung f\u00fcr Sicherheitsl\u00f6sungen erheblich erschwert.<\/p>\n

Das ist aber nicht die einzige Verschleierungstechnik, die die aktualisierte Variante von SynAck verwendet. Dar\u00fcber hinaus nutzt die Ransomware eine relativ komplizierte Process-Doppelg\u00e4nging-Technik<\/em> \u2013 die erste Ransomware ihrer Spezies, die in freier Wildbahn gesichtet wurde. Process Doppelg\u00e4ging<\/em> wurde erstmals auf der Black Hat 2017<\/a> von Sicherheitsforschern vorgestellt, danach von Kriminellen aufgegriffen und in verschiedenen Malware-Varianten eingesetzt.<\/p>\n

Mit \u201eProcess Doppelg\u00e4nging\u201c ist eine dateilose Code-Injektion gemeint, die eine Windows-eigene Funktion und eine nicht dokumentierte Implementierung des Windows Process Loaders nutzt. Durch eine Manipulation des Datei-Handlings unter Windows k\u00f6nnen Angreifer ihre sch\u00e4dlichen Aktionen unter dem Deckmantel harmloser, legitimer Prozesse ablaufen lassen. Um mehr \u00fcber den komplexen Prozess zu erfahren, sollten Sie einen Blick auf unseren\u00a0ausf\u00fchrlichen Bericht auf Securelist<\/a> werfen.<\/p>\n

SynAck hat zwei weitere bemerkenswerte Funktionen. Zun\u00e4chst \u00fcberpr\u00fcft die Malware, ob sie im richtigen<\/em> Dateiverzeichnis installiert wurde. Ist das nicht der Fall und der Startversuch erfolgt beispielsweise aus einer m\u00f6glichen automatisierten Sandbox heraus, wird der Prozess sofort abgebrochen. Dar\u00fcber hinaus bricht die Malware ihre Aktivit\u00e4t auch ab, falls der PC des Opfers eine kyrillische Tastatur haben sollte. Diese Technik dient f\u00fcr gew\u00f6hnlich dazu, Malware auf bestimmte Regionen zu beschr\u00e4nken.<\/p>\n

Keine Entschl\u00fcsselung f\u00fcr SynAck<\/h3>\n

Aus der Sicht des Nutzers wird SynAck lediglich als eine weitere Ransomware angesehen; vor allem wegen der L\u00f6segeldforderung in H\u00f6he von 3.000 USD. Vor dem Verschl\u00fcsseln der Dateien eines Benutzers stellt die Malware sicher, dass ihr der Zugriff auf wichtige Dateiziele gew\u00e4hrleistet ist, indem SynAck einige Prozesse beendet.<\/p>\n

Dem Opfer erscheint die L\u00f6segeldforderung inklusive genauerer Anweisungen auf dem Anmeldebildschirm. Leider verwendet SynAck einen starken Verschl\u00fcsselungsalgorithmus. In seiner Implementierung wurden bisher keine Fehler gefunden, sodass es momentan noch keine M\u00f6glichkeit gibt, die verschl\u00fcsselten Dateien wiederherzustellen.\"\"<\/a><\/p>\n

Wir haben festgestellt, dass SynAck haupts\u00e4chlich \u00fcber das Remote-Desktop-Protokoll vertrieben wird, was bedeutet, dass die Malware haupts\u00e4chlich auf Gesch\u00e4ftsanwender ausgerichtet ist. Die bisher begrenzte Anzahl von Angriffen \u2013 allesamt in den USA, in Kuwait und im Iran \u2013 best\u00e4tigt diese Hypothese.<\/p>\n

Die n\u00e4chste Generation der Ransomware<\/h3>\n

Selbst wenn Sie nicht zum Zielobjekt der Malware werden sollten, ist SynAcks blo\u00dfe Existenz ein deutliches Zeichen daf\u00fcr, dass sich Ransomware weiterentwickelt und immer ausgefeilter und der Schutz vernetzter Ger\u00e4te immer schwieriger wird. Es werden immer seltener Decryptor-Dienstprogramme erscheinen, da Angreifer lernen, die Fehler zu vermeiden, die die Erstellung dieser Entschl\u00fcsseler m\u00f6glich machen. Und obwohl Miner momentan auf dem Vormarsch sind (genau, wie wir es vorhergesagt habe<\/a>n), ist Ransomware immer noch ein gro\u00dfer globaler Trend. Deshalb ist es f\u00fcr jeden Internetnutzer ein Muss zu wissen, wie man sich vor all diesen Bedrohungen sch\u00fctzen kann.<\/p>\n

Hier sind einige Tipps, die Ihnen helfen k\u00f6nnen, Infektionen zu vermeiden oder m\u00f6gliche Folgen zu minimieren.<\/p>\n