HavanaCrypt ランサムウェアは、偽の Google アップデートに偽装します

28。 7月2022
| コメントはありません
B2B サイバー セキュリティ ショート ニュース

投稿を共有する

HavanaCrypt は新しいランサムウェアです。 検出が難しく、偽の Google アップデートに偽装し、Microsoft の機能を攻撃に使用します。 そのようなディレクトリは明示的に暗号化されていないため、Tot を通信として使用したいと考えているようです。

攻撃者は、企業の保護対策を回避するために、攻撃でユーザーの信頼を悪用することがよくあります。 そのため、ほとんどの企業が正当で安全であり、ホワイトリストに登録されていると見なす信頼できるアドレス空間とホストを使用することは新しいことではありません。 たとえば、サイバー犯罪者は AWS ホスティングを使用したり、他の「クリーンな」ホストやアドレス空間をハイジャックしたりします。 ただし、ランサムウェア攻撃に悪用されるのは信頼できるアドレスだけではなく、多くの企業で使用されている一般的に信頼できるツールやアプリケーションも同様です。

HavanaCrypt はただのテスト実行ですか?

「したがって、静的なインジケーターと署名に依存するか、特定のアドレス空間、アプリケーション、ユーザー、またはプロセスを信頼する従来の検出および防御手段は、ずっと前に失敗しました。 代わりに、企業のサイバー防御は、攻撃者の実際の TTP (戦術、手法、手順) に基づく行動パターンの検出に基づく必要があります。 単一のセキュリティ ツールや、特定のシステム要素を信頼できるかどうかに自動的に分類するアプローチに頼るべきではありません。 脅威の緩和は、攻撃者が実際に行っていることに合わせて微調整する必要があります。 これには継続的な研究開発が必要です。これは、考えられる攻撃が多数あることを考えると、これらがほぼ毎日変化するためです。 これらすべてを安全対策として考慮する必要があります」と、Arctic Wolf Labs の副社長である Daniel Thanos 氏は説明します。

攻撃後の身代金要求なし

「HavanaCrypt ランサムウェアの作成者は、ファイルの暗号化を防止するディレクトリの XNUMX つであるため、Tor ブラウザーを介して通信することを計画している可能性が非常に高いです。 現在、HavanaCrypt は身代金メモを残していません。これは、まだ開発中であることを示している可能性があります。 実際にまだベータ版である場合、企業はこれに備える機会をつかむ必要があります。 Tor を使用する場合は、ブラウザーをブロックする必要があります。ほとんどの企業はいずれにせよ Tor を使用していません」と Daniel Thanos 氏は言います。

HavanaCrypt の詳細

  • Google ソフトウェア アップデート アプリケーションに偽装する
  • Microsoft Web ホスティングをコマンド アンド コントロール サーバーとして使用し、検出をバイパスします。
  • .NET System.Threading 名前空間のメソッドである QueueUserWorkItem 関数を使用します。 また、ランサムウェアは、ファイルの暗号化中に、オープンソースのパスワード マネージャーである KeePass Password Safe のモジュールを使用します。
  • .NET コンパイル済みアプリケーションであり、.NET アセンブリ内のコードを保護するオープン ソースの .NET 難読化ツールである Obfuscar によって保護されています。
  • 仮想マシンでの実行時に動的分析を回避するためのいくつかの仮想化防止手法があります。
  • 被害者のコンピューターが仮想マシンで実行されていないことを確認した後、HavanaCrypt は 2[.]20[.]227[.]128 (Microsoft Web ホスティング サービスの IP アドレス) から「33.txt」という名前のファイルをダウンロードします。 20 から 25 のランダムな文字を含むファイル名を持つバッチ (.bat) ファイルとして保存します。
  • 暗号化ルーチン中に KeePass Password Safe のモジュールを使用します。 特に、CryptoRandom 関数を使用して、暗号化に必要なランダム キーを生成します。
  • ファイルを暗号化し、ファイル拡張子として「.Havana」を追加します。
詳しくは ArcticWolf.com をご覧ください

 

北極狼について

Arctic Wolf は、セキュリティ オペレーションのグローバル リーダーであり、サイバー リスクを軽減するための初のクラウドネイティブ セキュリティ オペレーション プラットフォームを提供しています。 Arctic Wolf® Security Operations Cloud は、エンドポイント、ネットワーク、およびクラウド ソースにわたる脅威テレメトリに基づいて、世界中で 1,6 週間に 2.000 兆を超えるセキュリティ イベントを分析します。 ほぼすべてのセキュリティ ユース ケースに企業にとって重要な洞察を提供し、顧客の異種セキュリティ ソリューションを最適化します。 Arctic Wolf プラットフォームは、世界中で XNUMX を超える顧客に使用されています。 自動化された脅威の検出と対応を提供し、あらゆる規模の組織がボタンを押すだけで世界クラスのセキュリティ運用をセットアップできるようにします。

 

トピックに関連する記事

レポート: 世界中でフィッシングが 40% 増加

カスペルスキーの 2023 年のスパムとフィッシングに関する現在のレポートがすべてを物語っています。ドイツのユーザーは次のようなことを求めています。 ➡続きを読む

BSI が Web ブラウザの最低基準を設定

BSI は管理用 Web ブラウザの最低標準を改訂し、バージョン 3.0 を公開しました。それを思い出すことができます ➡続きを読む

欧州企業を狙うステルスマルウェア

ハッカーはステルスマルウェアを使ってヨーロッパ中の多くの企業を攻撃しています。 ESETの研究者は、いわゆるAceCryptor攻撃が劇的に増加していることを報告しました。 ➡続きを読む

IT セキュリティ: LockBit 4.0 の基礎の解除

トレンドマイクロは英国国家犯罪庁(NCA)と協力し、開発中の未公開バージョンを分析した。 ➡続きを読む

Google Workspace 経由の MDR と XDR

カフェ、空港ターミナル、ホームオフィスなど、従業員はさまざまな場所で働いています。ただし、この開発には課題も伴います ➡続きを読む

テスト: エンドポイントおよび個々の PC 用のセキュリティ ソフトウェア

AV-TEST ラボからの最新のテスト結果は、Windows 向けの 16 の確立された保護ソリューションの非常に優れたパフォーマンスを示しています。 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

FBI:インターネット犯罪報告書、被害額は12,5億ドルと集計 

FBI のインターネット犯罪苦情センター (IC3) は、2023 万人以上からの情報を含む 880.000 年のインターネット犯罪報告書を発表しました。 ➡続きを読む

ショートニュース
, , , , ,