HavanaCrypt は新しいランサムウェアです。 検出が難しく、偽の Google アップデートに偽装し、Microsoft の機能を攻撃に使用します。 そのようなディレクトリは明示的に暗号化されていないため、Tot を通信として使用したいと考えているようです。
攻撃者は、企業の保護対策を回避するために、攻撃でユーザーの信頼を悪用することがよくあります。 そのため、ほとんどの企業が正当で安全であり、ホワイトリストに登録されていると見なす信頼できるアドレス空間とホストを使用することは新しいことではありません。 たとえば、サイバー犯罪者は AWS ホスティングを使用したり、他の「クリーンな」ホストやアドレス空間をハイジャックしたりします。 ただし、ランサムウェア攻撃に悪用されるのは信頼できるアドレスだけではなく、多くの企業で使用されている一般的に信頼できるツールやアプリケーションも同様です。
HavanaCrypt はただのテスト実行ですか?
「したがって、静的なインジケーターと署名に依存するか、特定のアドレス空間、アプリケーション、ユーザー、またはプロセスを信頼する従来の検出および防御手段は、ずっと前に失敗しました。 代わりに、企業のサイバー防御は、攻撃者の実際の TTP (戦術、手法、手順) に基づく行動パターンの検出に基づく必要があります。 単一のセキュリティ ツールや、特定のシステム要素を信頼できるかどうかに自動的に分類するアプローチに頼るべきではありません。 脅威の緩和は、攻撃者が実際に行っていることに合わせて微調整する必要があります。 これには継続的な研究開発が必要です。これは、考えられる攻撃が多数あることを考えると、これらがほぼ毎日変化するためです。 これらすべてを安全対策として考慮する必要があります」と、Arctic Wolf Labs の副社長である Daniel Thanos 氏は説明します。
攻撃後の身代金要求なし
「HavanaCrypt ランサムウェアの作成者は、ファイルの暗号化を防止するディレクトリの XNUMX つであるため、Tor ブラウザーを介して通信することを計画している可能性が非常に高いです。 現在、HavanaCrypt は身代金メモを残していません。これは、まだ開発中であることを示している可能性があります。 実際にまだベータ版である場合、企業はこれに備える機会をつかむ必要があります。 Tor を使用する場合は、ブラウザーをブロックする必要があります。ほとんどの企業はいずれにせよ Tor を使用していません」と Daniel Thanos 氏は言います。
HavanaCrypt の詳細
- Google ソフトウェア アップデート アプリケーションに偽装する
- Microsoft Web ホスティングをコマンド アンド コントロール サーバーとして使用し、検出をバイパスします。
- .NET System.Threading 名前空間のメソッドである QueueUserWorkItem 関数を使用します。 また、ランサムウェアは、ファイルの暗号化中に、オープンソースのパスワード マネージャーである KeePass Password Safe のモジュールを使用します。
- .NET コンパイル済みアプリケーションであり、.NET アセンブリ内のコードを保護するオープン ソースの .NET 難読化ツールである Obfuscar によって保護されています。
- 仮想マシンでの実行時に動的分析を回避するためのいくつかの仮想化防止手法があります。
- 被害者のコンピューターが仮想マシンで実行されていないことを確認した後、HavanaCrypt は 2[.]20[.]227[.]128 (Microsoft Web ホスティング サービスの IP アドレス) から「33.txt」という名前のファイルをダウンロードします。 20 から 25 のランダムな文字を含むファイル名を持つバッチ (.bat) ファイルとして保存します。
- 暗号化ルーチン中に KeePass Password Safe のモジュールを使用します。 特に、CryptoRandom 関数を使用して、暗号化に必要なランダム キーを生成します。
- ファイルを暗号化し、ファイル拡張子として「.Havana」を追加します。
北極狼について Arctic Wolf は、セキュリティ オペレーションのグローバル リーダーであり、サイバー リスクを軽減するための初のクラウドネイティブ セキュリティ オペレーション プラットフォームを提供しています。 Arctic Wolf® Security Operations Cloud は、エンドポイント、ネットワーク、およびクラウド ソースにわたる脅威テレメトリに基づいて、世界中で 1,6 週間に 2.000 兆を超えるセキュリティ イベントを分析します。 ほぼすべてのセキュリティ ユース ケースに企業にとって重要な洞察を提供し、顧客の異種セキュリティ ソリューションを最適化します。 Arctic Wolf プラットフォームは、世界中で XNUMX を超える顧客に使用されています。 自動化された脅威の検出と対応を提供し、あらゆる規模の組織がボタンを押すだけで世界クラスのセキュリティ運用をセットアップできるようにします。