HavanaCrypt é um novo ransomware. É difícil de detectar, se disfarça como uma falsa atualização do Google e usa funções da Microsoft nos ataques. Aparentemente, eles querem usar Tot como comunicação, já que tal diretório não é explicitamente criptografado.
Os invasores costumam abusar da confiança dos usuários em seus ataques para contornar as medidas de proteção das empresas. Portanto, usar espaços de endereço e hosts confiáveis que a maioria das empresas considera legítimos, seguros e permitidos não é novidade. Por exemplo, os cibercriminosos usam a hospedagem AWS ou sequestram outros hosts “limpos” ou espaços de endereço. No entanto, não são apenas endereços confiáveis que são usados indevidamente para ataques de ransomware, mas também ferramentas e aplicativos geralmente confiáveis usados em muitas empresas.
HavanaCrypt apenas um teste?
“Assim, as medidas tradicionais de detecção e defesa, que dependem de indicadores estáticos e assinaturas ou confiam em determinados espaços de endereço, aplicativos, usuários ou processos, falharam há muito tempo. Em vez disso, as defesas cibernéticas corporativas devem ser baseadas na detecção de padrões comportamentais com base nos TTPs (Táticas, Técnicas, Procedimentos) reais dos invasores. Não se deve confiar em uma única ferramenta de segurança ou em uma abordagem que classifique automaticamente determinados elementos do sistema como confiáveis ou não confiáveis. A mitigação de ameaças precisa ser ajustada ao que os invasores estão realmente fazendo. Isso requer pesquisa e desenvolvimento contínuos, pois eles mudam quase diariamente devido à multiplicidade de ataques possíveis. Tudo isso precisa ser considerado nas medidas de segurança”, explica Daniel Thanos, vice-presidente da Arctic Wolf Labs.
Nenhum pedido de resgate após o ataque
“É muito provável que o autor do ransomware HavanaCrypt esteja planejando se comunicar através do navegador Tor, já que o Tor é um dos diretórios onde impede que os arquivos sejam criptografados. Atualmente, HavanaCrypt não deixa nota de resgate, o que pode indicar que ainda está em desenvolvimento. Se ainda estiver em beta, as empresas devem aproveitar a oportunidade para se preparar para isso. Se o Tor for usado, o navegador deve ser bloqueado - a maioria das empresas não usa o Tor de qualquer maneira", diz Daniel Thanos.
Saiba mais sobre HavanaCrypt
- Disfarçar-se como um aplicativo de atualização de software do Google
- Usa a hospedagem na Web da Microsoft como um servidor de comando e controle para ignorar a detecção
- Usa a função QueueUserWorkItem, um método do namespace .NET System.Threading. Além disso, o ransomware usa os módulos do KeePass Password Safe, um gerenciador de senhas de código aberto, durante a criptografia de arquivos.
- É um aplicativo compilado .NET e é protegido pelo Obfuscar, um obfuscator .NET de código aberto que protege o código em um assembly .NET.
- Possui várias técnicas anti-virtualização para evitar análises dinâmicas ao executar em uma máquina virtual.
- Depois de verificar se o computador da vítima não está sendo executado em uma máquina virtual, o HavanaCrypt baixa um arquivo chamado "2.txt" de 20[.]227[.]128[.]33, um endereço IP de um serviço de hospedagem na web da Microsoft, e o salva como um arquivo em lote (.bat) com um nome de arquivo contendo de 20 a 25 caracteres aleatórios.
- Usa módulos do KeePass Password Safe durante sua rotina de criptografia. Em particular, ele usa a função CryptoRandom para gerar chaves aleatórias necessárias para criptografia.
- Criptografa arquivos e adiciona “.Havana” como extensão de nome de arquivo.
Sobre o Lobo do Ártico A Arctic Wolf é líder global em operações de segurança, fornecendo a primeira plataforma de operações de segurança nativa da nuvem para mitigar o risco cibernético. Com base na telemetria de ameaças, abrangendo endpoints, redes e fontes de nuvem, o Arctic Wolf® Security Operations Cloud analisa mais de 1,6 trilhão de eventos de segurança por semana em todo o mundo. Ele fornece insights críticos para a empresa em quase todos os casos de uso de segurança e otimiza as soluções de segurança heterogêneas dos clientes. A plataforma Arctic Wolf é usada por mais de 2.000 clientes em todo o mundo. Ele fornece detecção e resposta automatizadas a ameaças, permitindo que organizações de todos os tamanhos configurem operações de segurança de classe mundial com o toque de um botão.