TOOLinux

Le journal du Libre

Le ransomware SynAck fait son retour

lundi 28 mai 2018

Les chercheurs de Kaspersky Lab ont découvert une nouvelle variante du ransomware SynAck, qui utilise la technique Doppelgänging pour échapper aux logiciels anti-virus en se cachant dans des process légitimes.

C’est la première fois que la technique Doppelgänging est utilisée par un ransomware « in the wild ». Les développeurs derrière SynAck font également appel à d’autres stratagèmes pour ne pas être détectés, notamment l’obfuscation de tout le code avant la compilation d’échantillons et la fuite s’ils détectent des signes suggérant un lancement depuis un « sandbox ».

Le ransomware SynAck est connu depuis l’automne 2017. En décembre dernier, il ciblait principalement les utilisateurs anglophones via des attaques par force brute RDP (remote desktop protocol) suivies par le téléchargement manuel et l’installation du malware. La nouvelle variante découverte exploite une approche bien plus sophistiquée.

Les chercheurs pensent que les attaques utilisant cette nouvelle variante de SynAck sont hautement ciblées. A ce jour, ils ont observé un nombre limité d’attaques aux Etats-Unis, au Koweït, en Allemagne et en Iran, avec des demandes de rançon d’un montant de 3.000 EUR environ.