HavanaCrypt est un nouveau rançongiciel. Il est difficile à détecter, se déguise en une fausse mise à jour de Google et utilise les fonctions de Microsoft dans les attaques. Apparemment, ils veulent utiliser Tot comme moyen de communication, car un tel répertoire n'est explicitement pas crypté.
Les attaquants abusent souvent de la confiance des utilisateurs dans leurs attaques afin de contourner les mesures de protection des entreprises. Ainsi, l'utilisation d'espaces d'adressage et d'hôtes de confiance que la plupart des entreprises considèrent comme légitimes, sûrs et sur liste blanche n'est pas nouvelle. Par exemple, les cybercriminels utilisent l'hébergement AWS ou détournent d'autres hôtes ou espaces d'adressage « propres ». Cependant, ce ne sont pas seulement les adresses de confiance qui sont utilisées à mauvais escient pour les attaques de rançongiciels, mais également les outils et applications généralement fiables qui sont utilisés dans de nombreuses entreprises.
HavanaCrypt juste un essai ?
« En conséquence, les mesures traditionnelles de détection et de défense, qui reposent sur des indicateurs et des signatures statiques ou font confiance à certains espaces d'adressage, applications, utilisateurs ou processus, ont échoué il y a longtemps. Au lieu de cela, les cyberdéfenses d'entreprise devraient être basées sur la détection de modèles de comportement basée sur les TTP réels des attaquants (Tactiques, Techniques, Procédures). Il ne faut pas se fier à un seul outil de sécurité ou à une approche qui classe automatiquement certains éléments du système comme fiables ou non fiables. L'atténuation des menaces doit être adaptée à ce que font réellement les attaquants. Cela nécessite une recherche et un développement continus, car ceux-ci changent presque quotidiennement compte tenu de la multitude d'attaques possibles. Tout cela doit être pris en compte dans les mesures de sécurité », explique Daniel Thanos, vice-président d'Arctic Wolf Labs.
Aucune demande de rançon après l'attaque
« Il est très probable que l'auteur du rançongiciel HavanaCrypt envisage de communiquer via le navigateur Tor, car Tor est l'un des répertoires où il empêche le cryptage des fichiers. Actuellement, HavanaCrypt ne laisse pas de note de rançon, ce qui peut indiquer qu'il est toujours en développement. S'il est effectivement encore en version bêta, les entreprises devraient saisir l'opportunité de s'y préparer. Si Tor est utilisé, le navigateur doit être bloqué - la plupart des entreprises n'utilisent pas Tor de toute façon", explique Daniel Thanos.
En savoir plus sur HavanaCrypt
- Se déguiser en application de mise à jour logicielle Google
- Utilise l'hébergement Web Microsoft comme serveur de commande et de contrôle pour contourner la détection
- Utilise la fonction QueueUserWorkItem, une méthode de l'espace de noms .NET System.Threading. En outre, le rançongiciel utilise les modules de KeePass Password Safe, un gestionnaire de mots de passe open source, lors du cryptage des fichiers.
- Est une application compilée .NET et est protégée par Obfuscar, un obfuscateur .NET open source qui protège le code dans un assemblage .NET.
- Possède plusieurs techniques anti-virtualisation pour éviter l'analyse dynamique lors de l'exécution dans une machine virtuelle.
- Après s'être assuré que l'ordinateur de la victime n'est pas en cours d'exécution dans une machine virtuelle, HavanaCrypt télécharge un fichier nommé "2.txt" à partir de 20[.]227[.]128[.]33, une adresse IP d'un service d'hébergement Web de Microsoft, et l'enregistre en tant que fichier batch (.bat) avec un nom de fichier contenant 20 à 25 caractères aléatoires.
- Utilise les modules de KeePass Password Safe lors de sa routine de chiffrement. En particulier, il utilise la fonction CryptoRandom pour générer des clés aléatoires nécessaires au chiffrement.
- Crypte les fichiers et ajoute ".Havana" comme extension de nom de fichier.
À propos du loup arctique Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.