Ransomware SynAck : un véritable doppelgangster

Cette nouvelle version du ransomware SynAck utilise des techniques d’évasion sophistiquées.

Les malwares évoluent et les escrocs ajoutent de nouvelles fonctions et techniques pour que les antivirus ne puissent pas les détecter. Parfois ils évoluent assez rapidement. Par exemple, le ransomware SynAck, connu depuis septembre 2017, était médiocre et pas particulièrement rusé, mais il a récemment été restructuré et est devenu une menace très sophistiquée qui évite d’être détectée. Il est d’une efficacité sans précédent, et utilise une nouvelle technique appelée Process Doppelgänging.

Une attaque sournoise

Les créateurs de malware utilisent généralement l’offuscation (tentative pour rendre le code illisible pour que les antivirus ne puissent pas reconnaître le malware), et emploient un progiciel spécial pour le faire. Cependant, les développeurs d’antivirus ont compris le système, et désormais les logiciels d’antivirus défont les progiciels sans effort. Les développeurs qui se cachent derrière SynAck ont choisi une technique qui demandent plus d’effort des deux côtés : l’offuscation minutieuse du code avant de le compiler complique sérieusement sa détection par les solutions de sécurité.

La nouvelle version de SynAck utilise d’autres techniques d’évasion. Elle utilise également une technique assez compliquée de Process Doppelgänging, et c’est du jamais vu. Process Doppelgänging a été présenté pour la première fois par des chercheurs en matière de sécurité lors du Black Hat 2017, après quoi les malfaiteurs s’en sont emparés et l’ont utilisé dans plusieurs espèces de malware.

Process Doppelgänging repose sur certaines caractéristiques du système de fichiers NTFS, et un chargeur de processus hérité de Windows, qui existe dans toutes les versions Windows depuis Windows XP. Cela permet aux développeurs de créer un malware sans fichier qui peut faire passer les actions malveillantes pour des processus inoffensifs et légitimes. Cette technique est complexe. Pour en savoir plus, vous pouvez lire un article plus détaillé sur ce sujet sur Securelist.

SynAck dispose de deux autres caractéristiques notables. Tout d’abord, ce malware vérifie s’il est installé dans le bon répertoire. Si ce n’est pas le cas, il ne s’exécute pas. Il s’agit d’une tentative pour éviter d’être détecté par les sandbox automatiques utilisées par plusieurs solutions de sécurité. Ensuite, SynAck vérifie s’il est installé sur un ordinateur connecté à un clavier et analyse l’alphabet utilisé, dans ce cas cyrillique. Si tel est le cas, il ne fait rien. Il s’agit d’une technique assez répandue pour restreindre un malware à certaines régions.

Le crime habituel

Pour l’utilisateur, SynAck est plus qu’un ransomware puisqu’il se distingue notamment par une rançon brutale : 3 000 $. Avant d’encoder les fichiers de l’utilisateur, SynAck s’assure qu’il a accès aux fichiers importants que l’attaque cible ; le ransomware désactive certains processus qui sinon maintiendraient les fichiers en activité et les rendraient inatteignables.

La victime voit la demande de rançon sur l’écran d’identification, accompagnée des instructions pour contacter les escrocs. Malheureusement, SynAck utilise un algorithme d’encodage fort, et aucun défaut n’a été détecté dans son exécution. Par conséquent, il n’existe aucune technique permettant de décrypter les fichiers encodés.

Nous avons vu que SynAck est principalement distribué par force brute via le protocole Remote Desktop Protocol, ce qui signifie qu’il cible surtout les utilisateurs professionnels. Le nombre d’attaques perpétrées jusqu’à présent (toutes aux États-Unis, Koweït et Iran) confirme cette hypothèse.

Se préparer à la nouvelle génération de ransomware

Même si SynAck n’en a pas après vous, son existence indique clairement que le ransomware évolue. Il est de plus en plus sophistiqué, et il est de plus en plus compliqué de s’en protéger. Les services de décryptage apparaitront moins souvent puisque les escrocs ont appris à ne pas commettre les mêmes erreurs que celles qui ont permis de créer ces services de décryptage. Bien qu’ils laissent du terrain aux mineurs cachés (tout comme nous l’avions anticipé), le ransomware est encore une grande tendance mondiale, et il est important que chaque utilisateur d’Internet sache comment se protéger contre de telles menaces.

Voici quelques conseils qui peuvent vous aider à ne pas être infecté ou, si besoin, d’en minimiser les conséquences.

  • Sauvegarder vos données régulièrement. Gardez vos sauvegardes sur un support à part qui ne soit pas connecté en permanence à votre réseau ou à Internet.
  • Si vous n’utilisez pas Windows Remote Desktop dans les processus de votre entreprise, désactivez-le.
  • Utilisez une bonne solution de sécurité qui dispose d’un pare-feu intégré et de composants spécifiques pour lutter contre les ransomwares, comme Kaspersky Small Office Security pour les petites entreprises, ou Kaspersky Endpoint Security pour les entreprises plus grandes. Les produits de Kaspersky Lab détectent SynAck malgré ses stratégies d’évasion.
  • Si vous possédez déjà une solution de sécurité, vous pouvez toujours installer Kaspersky Anti-Ransomware Tool, qui est un logiciel gratuit et compatible avec les suites de sécurité proposées par d’autres vendeurs.
Conseils