HavanaCrypt es un nuevo ransomware. Es difícil de detectar, se disfraza como una actualización falsa de Google y utiliza funciones de Microsoft en los ataques. Aparentemente, quieren usar Tot como comunicación, ya que dicho directorio no está encriptado explícitamente.
Los atacantes a menudo abusan de la confianza de los usuarios en sus ataques para eludir las medidas de protección de las empresas. Por lo tanto, el uso de espacios de direcciones y hosts confiables que la mayoría de las empresas consideran legítimos, seguros y en la lista blanca no es nuevo. Por ejemplo, los ciberdelincuentes utilizan el alojamiento de AWS o secuestran otros hosts o espacios de direcciones "limpios". Sin embargo, no son solo las direcciones confiables las que se usan indebidamente para los ataques de ransomware, sino también las herramientas y aplicaciones generalmente confiables que se usan en muchas empresas.
HavanaCrypt es solo una prueba?
“En consecuencia, las medidas tradicionales de detección y defensa, que se basan en indicadores y firmas estáticos o confían en ciertos espacios de direcciones, aplicaciones, usuarios o procesos, fallaron hace mucho tiempo. En su lugar, las defensas cibernéticas empresariales deben basarse en la detección de patrones de comportamiento basados en los TTP reales de los atacantes (tácticas, técnicas, procedimientos). No se debe confiar en una sola herramienta de seguridad o en un enfoque que clasifique automáticamente ciertos elementos del sistema como confiables o no confiables. La mitigación de amenazas debe ajustarse a lo que los atacantes realmente están haciendo. Esto requiere investigación y desarrollo continuos, ya que estos cambian casi a diario dada la multitud de posibles ataques. Todo esto debe tenerse en cuenta en las medidas de seguridad”, explica Daniel Thanos, vicepresidente de Arctic Wolf Labs.
Sin demanda de rescate después del ataque
“Es muy probable que el autor del ransomware HavanaCrypt esté planeando comunicarse a través del navegador Tor, ya que Tor es uno de los directorios donde impide que se cifren los archivos. Actualmente, HavanaCrypt no deja una nota de rescate, lo que puede indicar que todavía está en desarrollo. Si de hecho todavía está en versión beta, las empresas deberían aprovechar la oportunidad para prepararse. Si se usa Tor, el navegador debe estar bloqueado; la mayoría de las empresas no usan Tor de todos modos", dice Daniel Thanos.
Más información sobre HavanaCrypt
- Disfrazarse como una aplicación de actualización de software de Google
- Utiliza el alojamiento web de Microsoft como un servidor de comando y control para eludir la detección
- Utiliza la función QueueUserWorkItem, un método del espacio de nombres .NET System.Threading. Además, el ransomware usa los módulos de KeePass Password Safe, un administrador de contraseñas de código abierto, durante el cifrado de archivos.
- Es una aplicación compilada de .NET y está protegida por Obfuscar, un ofuscador de .NET de código abierto que protege el código en un ensamblado de .NET.
- Tiene varias técnicas antivirtualización para evitar el análisis dinámico cuando se ejecuta en una máquina virtual.
- Después de asegurarse de que la computadora de la víctima no se está ejecutando en una máquina virtual, HavanaCrypt descarga un archivo llamado "2.txt" de 20[.]227[.]128[.]33, una dirección IP de un servicio de alojamiento web de Microsoft, y lo guarda como un archivo por lotes (.bat) con un nombre de archivo que contiene de 20 a 25 caracteres aleatorios.
- Utiliza módulos de KeePass Password Safe durante su rutina de cifrado. En particular, utiliza la función CryptoRandom para generar claves aleatorias necesarias para el cifrado.
- Cifra archivos y agrega ".Havana" como extensión de nombre de archivo.
Acerca del lobo ártico Arctic Wolf es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para mitigar el riesgo cibernético. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo tocar un botón.