I malware tendon a evolversi, dal momento che i cybercriminali aggiungono nuove funzionalità e tecniche per evitare che le proprie “creature” vengano individuate dai programmi antivirus. A volte tale evoluzione è piuttosto rapida; ad esempio, il ransomware SynAck, la cui esistenza è nota da settembre 2017 (ai tempi era un ransomware piuttosto mediocre) è ora diventato una minaccia molto sofisticata che si nasconde con grande efficacia e utilizza una nuova tecnica denominata Process Doppelgänging.
Attacco insidioso
Chi crea i malware di solito utilizza l’offuscamento, cercando di rendere il codice illeggibile e impedendo così agli antivirus di riconoscerlo (di solito si utilizzano per questo scopo software specifici di impacchettamento). Gli sviluppatori di antivirus hanno capito il gioco e i prodotti di sicurezza riescono a “spacchettare” questi trucchi senza sforzo. Gli sviluppatori di SynAck hanno scelto un’altra tecnica che richiede maggiori sforzi da entrambe le parti: offuscano in profondità il codice prima di compilarlo, rendendo il lavoro delle soluzioni di sicurezza molto più arduo.
Ma non è la sola tecnica utilizzata da SynAckm, anzi, impiega il Process Doppelgänging che è piuttosto complicato (di fatto, si tratta del primo ransomware in the wild a farlo). Il Process Doppelgänging è stato presentato per la prima volta alla conferenza Black Hat 2017 da alcuni ricercatori e, successivamente, i cybercriminali hanno applicato questa tecnica su diversi esemplari di malware.
Il Process Doppelgänging si affida a alcune caratteristiche del file di sistema NTFS ed è un loader dei processi Windows che esiste in tutte le versioni dai tempi di Windows XP e che consente ai cybercriminali di creare malware senza file che si spacciano com processi legittimi e innocui. È una tecnica complicata; tuttavia, per maggiori dettagli tecnici potete leggere il nostro post su Securelist (in lingua inglese).
SynAck ha altre due caratteristiche degne di nota. Innanzitutto, verifica se viene installato nella giusta directory e, se non dovesse essere il caso, non si avvia (un modo per evitare di essere individuato dalle sandbox automatiche impiegate da diverse soluzioni di sicurezza). Inoltre, SynAck verifica se viene installato su un computer con una tastiera impostata su un certo script (nel nostro caso, in cirillico) e, anche in questo caso, non si attiva. Si tratta di una tecnica comune per restringere il malware a una regione specifica.
Il ricatto di sempre
Dal punto di vista dell’utente, SynAck è un ransomware come gli altri, anche se il riscatto richiesto è piuttosto alto (3 mila dollari). Prima di cifrare i file dell’utente, SynAck si assicura di avere l’accesso a file importanti eliminando alcuni processi che utilizzerebbero questi file obiettivo e che li renderebbero quindi off limits.
La vittima visualizza sulla schermata di avvio il messaggio di riscatto, comprese le istruzioni di contatto; purtroppo, SynAck utilizza un forte algoritmo di cifratura e non sono ancora state individuate falle nella sua implementazione, per cui non è possibile decifrare i file.
Fino a ora, SynAck è stato distribuito principalmente mediante attacchi di forza bruta del Remote Desktop Protocol, il che vuol dire che le aziende sono l’obiettivo principale. A sostegno di questa ipotesi c’è il numero limitato di attacchi perpetrati fino ad ora (tutti in USA, Kuwait e Iran).
Come prepararsi alla prossima generazione di ransomware
Anche se probabilmente non sarete vittime di SynAck, la sua stessa esistenza indica un’evoluzione nel campo dei ransomware, che diventano sempre più sofisticati (e difendersi sarà sempre più complicato). Le utility per decifrare i file saranno sempre meno frequenti dal momento che i cybercriminali riusciranno a evitare quegli errori che rendono possibile lo sviluppo di queste utility. Sebbene i ransomware stiano cedendo un po’ il passo ai miner occulti (come avevamo previsto), continuano a essere di tendenza a livello globale. Per questo, tutti gli utenti di Internet dovrebbero sapere come proteggersi da tali minacce.
Ecco qualche consiglio che vi aiuterà a evitare le infezioni o, se ciò è già avvenuto, a ridurre al minimo le conseguenze:
- Effettuate regolarmente il backup dei dati. Salvate le copie di backup su sistemi non collegati alla vostra rete o a Internet;
- Se per i vostri processi aziendali non utilizzate Windows Remote Desktop, procedete alla sua disattivazione;
- Impiegate una soluzione di sicurezza affidabile con firewall integrato e un componente anti-ransomware specifico, come Kaspersky Small Office Security per aziende di piccole dimensioni o Kaspersky Endpoint Security per grandi imprese. I prodotti Kaspersky Lab riescono a individuare SynAck nonostate le tecniche per eludere i controlli.
- Se avete già installato una soluzione di sicurezza, potete comunque installare Kaspersky Anti-Ransomware Tool, gratuito e compatibile con prodotti di altre case.