{"id":15641,"date":"2018-05-07T17:47:46","date_gmt":"2018-05-07T15:47:46","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=15641"},"modified":"2019-11-22T11:04:48","modified_gmt":"2019-11-22T09:04:48","slug":"synack-ransomware-featured","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/synack-ransomware-featured\/15641\/","title":{"rendered":"Ransomware SynAck: un vero doppelg\u00e4ngster"},"content":{"rendered":"

I malware tendon a evolversi, dal momento che i cybercriminali aggiungono nuove funzionalit\u00e0 e tecniche per evitare che le proprie \u201ccreature\u201d vengano individuate dai programmi antivirus. A volte tale evoluzione \u00e8 piuttosto rapida; ad esempio, il ransomware SynAck, la cui esistenza \u00e8 nota da settembre 2017 (ai tempi era un ransomware piuttosto mediocre) \u00e8 ora diventato una minaccia molto sofisticata che si nasconde con grande efficacia e utilizza una nuova tecnica denominata Process Doppelg\u00e4nging.<\/p>\n

Attacco insidioso<\/strong><\/h3>\n

Chi crea i malware di solito utilizza l\u2019offuscamento<\/a>, cercando di rendere il codice illeggibile e impedendo cos\u00ec agli antivirus di riconoscerlo (di solito si utilizzano per questo scopo software specifici di impacchettamento). Gli sviluppatori di antivirus hanno capito il gioco e i prodotti di sicurezza riescono a \u201cspacchettare\u201d questi trucchi senza sforzo. Gli sviluppatori di SynAck hanno scelto un\u2019altra tecnica che richiede maggiori sforzi da entrambe le parti: offuscano in profondit\u00e0 il codice prima di compilarlo<\/em>, rendendo il lavoro delle soluzioni di sicurezza molto pi\u00f9 arduo.<\/p>\n

Ma non \u00e8 la sola tecnica utilizzata da SynAckm, anzi, impiega il Process Doppelg\u00e4nging che \u00e8 piuttosto complicato (di fatto, si tratta del primo ransomware in the wild a farlo). Il Process Doppelg\u00e4nging \u00e8 stato presentato per la prima volta alla conferenza Black Hat 2017<\/a> da alcuni ricercatori e, successivamente, i cybercriminali hanno applicato questa tecnica su diversi esemplari di malware.<\/p>\n

Il Process Doppelg\u00e4nging si affida a alcune caratteristiche del file di sistema NTFS ed \u00e8 un loader dei processi Windows che esiste in tutte le versioni dai tempi di Windows XP e che consente ai cybercriminali di creare malware senza file che si spacciano com processi legittimi e innocui. \u00c8 una tecnica complicata; tuttavia, per maggiori dettagli tecnici potete leggere il nostro post su Securelist<\/a> (in lingua inglese).<\/p>\n

SynAck ha altre due caratteristiche degne di nota. Innanzitutto, verifica se viene installato nella giusta<\/em> directory e, se non dovesse essere il caso, non si avvia (un modo per evitare di essere individuato dalle sandbox automatiche impiegate da diverse soluzioni di sicurezza). Inoltre, SynAck verifica se viene installato su un computer con una tastiera impostata su un certo script (nel nostro caso, in cirillico) e, anche in questo caso, non si attiva. Si tratta di una tecnica comune per restringere il malware a una regione specifica.<\/p>\n

Il ricatto di sempre<\/strong><\/h3>\n

Dal punto di vista dell\u2019utente, SynAck \u00e8 un ransomware come gli altri, anche se il riscatto richiesto \u00e8 piuttosto alto (3 mila dollari). Prima di cifrare i file dell\u2019utente, SynAck si assicura di avere l\u2019accesso a file importanti eliminando alcuni processi che utilizzerebbero questi file obiettivo e che li renderebbero quindi off limits.<\/p>\n

La vittima visualizza sulla schermata di avvio il messaggio di riscatto, comprese le istruzioni di contatto; purtroppo, SynAck utilizza un forte algoritmo di cifratura e non sono ancora state individuate falle nella sua implementazione, per cui non \u00e8 possibile decifrare i file.<\/p>\n

\"\"<\/p>\n

Fino a ora, SynAck \u00e8 stato distribuito principalmente mediante attacchi di forza bruta del Remote Desktop Protocol, il che vuol dire che le aziende sono l\u2019obiettivo principale. A sostegno di questa ipotesi c\u2019\u00e8 il numero limitato di attacchi perpetrati fino ad ora (tutti in USA, Kuwait e Iran).<\/p>\n

Come prepararsi alla prossima generazione di ransomware<\/strong><\/h3>\n

Anche se probabilmente non sarete vittime di SynAck, la sua stessa esistenza indica un\u2019evoluzione nel campo dei ransomware, che diventano sempre pi\u00f9 sofisticati (e difendersi sar\u00e0 sempre pi\u00f9 complicato). Le utility per decifrare i file saranno sempre meno frequenti dal momento che i cybercriminali riusciranno a evitare quegli errori che rendono possibile lo sviluppo di queste utility. Sebbene i ransomware stiano cedendo un po\u2019 il passo ai miner occulti (come avevamo previsto<\/a>), continuano a essere di tendenza a livello globale. Per questo, tutti gli utenti di Internet dovrebbero sapere come proteggersi da tali minacce.<\/p>\n

Ecco qualche consiglio che vi aiuter\u00e0 a evitare le infezioni o, se ci\u00f2 \u00e8 gi\u00e0 avvenuto, a ridurre al minimo le conseguenze:<\/p>\n