Los investigadores de Kaspersky Lab han descubierto una nueva variante del ransomware troyando SynAck que utiliza la técnica de Doppelgänging para eludir la protección antivirus escondiéndose en procesos legítimos.

Para entender de lo que hablamos:

Un ransomware es un tipo de programa dañino que secuestra datos de un ordenador y pide un rescate económico a cambio de liberarlo. Normalmente cifra los datos y a cambio de pagar el rescate económico te da la clave para descifrarlo.

Un troyano es un malware que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.

Un malware es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información. También se le llama programa malicioso, programa maligno, badware, código maligno, software malicioso, software dañino o software malintencionado.

 

Por lo tanto, SynAck es un programa dañino que puede secuestrar los datos de nuestra empresa para hacernos chantaje, y que entra al ejecutar un programa que nos bajamos de internet o que recibimos por e-mail.

En los casos en los que la empresa no tiene copias de seguridad tiene que pagar a la fuerza el rescate si quiere recuperar sus datos. Además, se han dado casos en que se ha liberado la información por bloques solicitando más de un rescate, hasta que la empresa ha obtenido los datos imprescindibles para su funcionamiento y no ha cedido más al chantaje, pero con la consecuente perdida de algunos datos.

 

¿Porqué la nueva variante de SynAck es aun peor?

SynAck ha evolucionado utilizando Process Doppelgänging, una técnica de inyección de código sin archivos que ayuda al malware a evitar su deteccción.

La técnica Doppelgänging manipula cómo Windows maneja las transacciones de archivos, de manera que los atacantes pueden lanzar acciones maliciosas como procesos legítimos e inofensivos, incluso si están usando código malicioso conocido. Doppelgänging no deja evidencia rastreable, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar. Esta es la primera vez que se ha observado ransomware usando esta técnica.

El ransomware SynAck se identificó en septiembre 2017, y en diciembre, se observó a los usuarios de habla inglesa principalmente con ataques de fuerza bruta de protocolo de escritorio remoto (RDP), seguidos de la descarga manual e instalación de malware. La nueva variante descubierta por los investigadores de Kaspersky Lab implementa un enfoque mucho más sofisticado, utilizando la técnica de proceso Doppelgänging para evadir la detección.

 

Por el momento, los investigadores creen que los ataques que usan esta nueva variante de SynAck son muy específicos y se han observando ataques en EE.UU., Kuwait, Alemania e Irán, con demandas de rescate por $3.000 dólares.

Kaspersky Lab detecta esta variante del ransomware SynAck como:

Trojan-Ransom.Win32.Agent.abwa

Trojan-Ransom.Win32.Agent.abwb

PDM: Trojan.Win32.Generic

 

Recomendaciones para mantener a los usuarios y dispositivos a salvo del ransomware, o al menos eludir su chantaje:

  • Hacer copias de seguridad de los datos regularmente. Si haces copias de seguridad diarias podrás recuperar tus datos y eludir el chantaje aunque te haya entrado el ransomware. Pero cuidado! Si haces las copias de seguridad directamente del PC no te servirá de nada. Las copias de seguridad deben hacerse con programas profesionales en dispositivos externos. O sino otra solución para despreocuparte y tener copias de seguridad diarias es el backup online.
  • Utilizar una solución de seguridad confiable con detección de comportamiento y capaz de deshacer acciones maliciosas.
  • Siempre mantener el software actualizado en todos los dispositivos que use.
  • Si es empresario, es importante educar a los empleados y al equipo de TI (no abrir archivos de correos desconocidos); y mantener los datos confidenciales separados con acceso restringido. Se recomienda utilizar una solución de seguridad robusta, como Kaspersky Endpoint Security for Business.

 

Pero si igualmente tienes la mala suerte de ser víctima de un cifrado, no te asustes! Llámanos al 937 416 923.