El malware siempre evoluciona, los ciberdelincuentes añaden nuevas funciones y técnicas para evitar la detección de los programas antivirus. A veces, la evolución es muy rápida. Por ejemplo, el ransomware SynAck, que salió a la luz en septiembre del 2017 (cuando no era tan ingenioso), ha evolucionado a una amenaza mas sofisticada que evita la detección con una efectividad sin precedentes a través de una nueva técnica llamada Process Doppelgänging.
Normalmente, los creadores de malware utilizan la ofuscación (para generar un código ilegible y que los antivirus no reconozcan el malware) mediante un software especial para ese propósito. Sin embargo, los desarrolladores de antivirus lo han detectado y ahora sus programas los detectan sin ningún esfuerzo. Los desarrolladores de SynAck se han decantado por otro método que requería más esfuerzos por ambas partes: ofuscaban cuidadosamente el código antes de compilarlo, lo que dificulta la detección por parte de las soluciones de seguridad.
Esta no es la única técnica de evasión que utiliza la nueva versión de SynAck, sino que además es el primer ransomware detectado que usa el Process Doppelgänging. Unos investigadores de seguridad presentaron por primera vez este proceso en la conferencia Black Hat 2017 y, después, la han utilizado los delincuentes en distintos tipos de malware.
El Process Doppelgänging se basa en algunas características del sistema de archivos NTFS y un cargador de procesos de Windows presente en todas las versiones desde Windows XP y que permite a los desarrolladores generar malware sin archivo para camuflar acciones maliciosas en procesos legítimos e inofensivos. La técnica es compleja, si quieres saber más sobre el tema, echa un vistazo al artículo más detallado de Securelist sobre este tema.
SynAck cuenta con otras dos características notables. En primer lugar, comprueba si se ha instalado en el directorio correcto. Si no, no se ejecuta para evitar la detección de los diferentes mecanismos de aislamiento de proceso automático que emplean las soluciones de seguridad. En segundo lugar, SynAck comprueba si está instalado en una computadora con un teclado configurado para una secuencia de comandos en concreto (Cyrillic en este caso) y, entonces, tampoco haría nada. Se trata de una técnica muy común para restringir el malware a regiones específicas.
Desde la perspectiva del usuario, SynAck es otro ransomware más, famoso por su elevada demanda, 3000 dólares. Antes de cifrar todos los archivos del usuario, SynAck se asegura de tener acceso a los archivos importantes de su objetivo al eliminar algunos procesos que de otra manera mantendrían los archivos en uso y fuera de su alcance.
El mensaje del rescate y las instrucciones de contacto aparecen en la pantalla de inicio. Por desgracia, SynAck usa un algoritmo de cifrado fuerte sin imperfecciones, por lo que no hay forma de descifrar los archivos.
En la mayoría de los casos, SynAck se ha distribuido por fuerza bruta a través de Remote Desktop Protocol, por lo que podemos afirmar que está enfocado a empresas. Por consiguiente, el número limitado de ataque (todos ellos en EE. UU., Kuwait e Irán) confirma esta hipótesis.
