HavanaCrypt è un nuovo ransomware. È difficile da rilevare, si maschera da falso aggiornamento di Google e utilizza le funzioni Microsoft negli attacchi. Apparentemente vogliono usare Tot come comunicazione, poiché tale directory non è esplicitamente crittografata.
Gli aggressori spesso abusano della fiducia degli utenti nei loro attacchi per aggirare le misure di protezione delle aziende. Pertanto, l'utilizzo di spazi di indirizzi e host attendibili che la maggior parte delle aziende considera legittimi, sicuri e autorizzati non è una novità. Ad esempio, i criminali informatici utilizzano l'hosting AWS o dirottano altri host o spazi di indirizzi "puliti". Tuttavia, non solo gli indirizzi attendibili vengono utilizzati in modo improprio per gli attacchi ransomware, ma anche strumenti e applicazioni generalmente affidabili utilizzati in molte aziende.
HavanaCrypt solo un giro di prova?
“Di conseguenza, le tradizionali misure di rilevamento e difesa, che si basano su indicatori statici e firme o si fidano di determinati spazi di indirizzi, applicazioni, utenti o processi, hanno fallito molto tempo fa. Invece, le difese informatiche aziendali dovrebbero basarsi sul rilevamento di modelli comportamentali basato sui TTP effettivi degli aggressori (tattiche, tecniche, procedure). Non si dovrebbe fare affidamento su un singolo strumento di sicurezza o su un approccio che classifica automaticamente determinati elementi del sistema come attendibili o non attendibili. La mitigazione delle minacce deve essere messa a punto in base a ciò che gli aggressori stanno effettivamente facendo. Ciò richiede una continua ricerca e sviluppo, poiché questi cambiano quasi quotidianamente data la moltitudine di possibili attacchi. Tutto ciò deve essere considerato nelle misure di sicurezza", spiega Daniel Thanos, vicepresidente, Arctic Wolf Labs.
Nessuna richiesta di riscatto dopo l'attacco
"È molto probabile che l'autore del ransomware HavanaCrypt stia pianificando di comunicare tramite il browser Tor, poiché Tor è una delle directory in cui impedisce la crittografia dei file. Attualmente, HavanaCrypt non lascia una richiesta di riscatto, il che potrebbe indicare che è ancora in fase di sviluppo. Se è davvero ancora in versione beta, le aziende dovrebbero cogliere l'opportunità per prepararsi. Se si utilizza Tor, il browser dovrebbe essere bloccato: la maggior parte delle aziende non utilizza comunque Tor", afferma Daniel Thanos.
Ulteriori informazioni su HavanaCrypt
- Travestirsi da applicazione di aggiornamento software di Google
- Utilizza l'hosting Web Microsoft come server di comando e controllo per aggirare il rilevamento
- Utilizza la funzione QueueUserWorkItem, un metodo dello spazio dei nomi .NET System.Threading. Inoltre, il ransomware utilizza i moduli di KeePass Password Safe, un gestore di password open source, durante la crittografia dei file.
- È un'applicazione compilata in .NET ed è protetta da Obfuscar, un offuscatore .NET open source che protegge il codice in un assembly .NET.
- Dispone di diverse tecniche anti-virtualizzazione per evitare l'analisi dinamica durante l'esecuzione in una macchina virtuale.
- Dopo essersi accertato che il computer della vittima non sia in esecuzione in una macchina virtuale, HavanaCrypt scarica un file denominato "2.txt" da 20[.]227[.]128[.]33, un indirizzo IP da un servizio di web hosting Microsoft, e lo salva come file batch (.bat) con un nome file contenente da 20 a 25 caratteri casuali.
- Utilizza i moduli di KeePass Password Safe durante la sua routine di crittografia. In particolare, utilizza la funzione CryptoRandom per generare chiavi casuali necessarie per la crittografia.
- Crittografa i file e aggiunge ".Havana" come estensione del nome file.
A proposito di lupo artico Arctic Wolf è un leader globale nelle operazioni di sicurezza, fornendo la prima piattaforma di operazioni di sicurezza nativa del cloud per mitigare il rischio informatico. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.