Ransomware HavanaCrypt tarnt sich als Fake-Google-Update

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

HavanaCrypt ist eine neue Ransomware. Sie ist schwer zu erkennen, tarnt sich als Fake-Google-Update und nutzt Microsoft-Funktionen im Rahmen der Attacken. Als Kommunikation will man anscheinend Tot benutzen, da ein solches Verzeichnis explizit nicht verschlüsselt wird.

Angreifer missbrauchen bei ihren Attacken häufig das Vertrauen von Nutzern, um die Schutzmaßnahmen von Unternehmen zu umgehen. Die Verwendung von vertrauenswürdigen Adressräumen und Hosts, die von den meisten Unternehmen als seriös und sicher eingestuft werden und auf der Whitelist stehen, ist also nicht neu. Cyberkriminelle nutzen zum Beispiel AWS-Hosting oder kapern andere „saubere“ Hosts oder Adressräume. Doch es sind nicht nur vertrauenswürdige Adressen, die für Ransomware-Angriffe missbraucht werden, sondern auch allgemein als vertrauenswürdig eingestufte Tools und Anwendungen, die in vielen Unternehmen zum Einsatz kommen.

Anzeige

HavanaCrypt nur ein Testlauf?

„Entsprechend haben herkömmliche Detection- und Defense-Maßnahmen, die auf statischen Indikatoren und Signaturen beruhen oder bestimmte Adressräume, Anwendungen, Nutzer oder Prozesse als vertrauenswürdig einstufen, schon vor langer Zeit versagt. Stattdessen sollte die Cyberabwehr von Unternehmen auf der Erkennung von Verhaltensmustern basieren, die auf den tatsächlichen TTPs (Tactics, Techniques, Procedures) der Angreifer beruhen. Man sollte sich nicht auf ein einziges Sicherheitstool verlassen oder auf einen Ansatz, der bestimmte Systemelemente automatisch als vertrauenswürdig oder nicht vertrauenswürdig einstuft. Die Bedrohungsabwehr muss genau auf die tatsächlichen Vorgehensweisen der Angreifer abgestimmt werden. Das erfordert kontinuierliche Forschung und Weiterentwicklung, da sich diese bei der Vielzahl möglicher Angriffe fast täglich ändern. All das muss bei Sicherheitsmaßnahmen bedacht werden“, erklärt Daniel Thanos, VP, Arctic Wolf Labs.

Nach der Attacke keine Lösegeldforderung

„Es ist sehr wahrscheinlich, dass der Autor der HavanaCrypt-Ransomware plant, über den Tor-Browser zu kommunizieren, da Tor zu den Verzeichnissen gehört, in denen er die Verschlüsselung von Dateien verhindert. Aktuell hinterlässt HavanaCrypt keine Lösegeldforderung, was ein Hinweis darauf sein könnte, dass sie sich noch in der Entwicklungsphase befindet. Wenn sie sich tatsächlich noch in der Beta-Phase befindet, sollten Unternehmen die Chance nutzen, sich darauf vorzubereiten. Für den Fall, dass Tor verwendet wird, sollte der Browser blockiert werden – in den meisten Unternehmen wird Tor ohnehin nicht gebraucht“, so Daniel Thanos.

Anzeige

Weitere Erkenntnisse über HavanaCrypt

  • Tarnt sich als Google-Software-Update-Anwendung
  • Verwendet Microsoft Webhosting als Command-and-Control-Server, um die Detection zu umgehen
  • Nutzt die QueueUserWorkItem-Funktion, eine Methode des .NET System.Threading Namespace. Außerdem verwendet die Ransomware die Module von KeePass Password Safe, einem Open-Source-Passwortmanager, während der Dateiverschlüsselung.
  • Ist eine .NET-kompilierte Anwendung und wird durch Obfuscar geschützt, einen Open-Source-.NET-Obfuscator, der den Code in einer .NET-Assembly schützt.
  • Verfügt über mehrere Anti-Virtualisierungstechniken, um eine dynamische Analyse zu vermeiden, wenn sie in einer virtuellen Maschine ausgeführt wird.
  • Nachdem HavanaCrypt sich vergewissert hat, dass der Computer des Opfers nicht in einer virtuellen Maschine ausgeführt wird, lädt sie eine Datei mit dem Namen „2.txt“ von 20[.]227[.]128[.]33, einer IP-Adresse eines Microsoft-Webhosting-Dienstes, herunter und speichert sie als Batch-Datei (.bat) mit einem Dateinamen, der 20 bis 25 zufällige Zeichen enthält.
  • Verwendet während seiner Verschlüsselungsroutine Module von KeePass Password Safe. Insbesondere nutzt sie die Funktion CryptoRandom, um Zufallsschlüssel zu erzeugen, die für die Verschlüsselung benötigt werden.
  • Verschlüsselt Dateien und fügt „.Havana“ als Dateinamenerweiterung hinzu.
Mehr bei ArcticWolf.com

 


Über Arctic Wolf

Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.


 

Passende Artikel zum Thema

Threat Report: 2,8 Milliarden Malware-Angriffe im Q1 und Q2 2022

Neuester Sonicwall Threat Report deckt massive Verschiebungen Im Cyber-Wettrüsten infolge geopolitischer Spannungen und gestiegener Cyberangriffe auf. Bereits 2,8 Milliarden Malware-Angriffe ➡ Weiterlesen

Ransomware-Opfer: Elektronikhersteller Semikron aus Nürnberg

Wie die Semikron Gruppe am 01. August 2022 mitteilt, wurde sie Opfer eines Cyber-Angriffs einer professionellen Hackergruppe. Dabei wurden nach ➡ Weiterlesen

Backups einfach und effektiv vor Ransomware schützen

Backups dienen der Absicherung gegen Datenverlust. Geht ein Original verloren, hat man noch eine Kopie zur Sicherheit, als „Backup“. So ➡ Weiterlesen

Energieversorger Entega gehackt – Daten stehen im Darknet

Bereits im Juni wurde ENTEGA IT-Tochter COUNT+CARE GmbH & Co. KG angegriffen, die Daten der Systeme mit Ransomware verschlüsselt und ➡ Weiterlesen

Teenager-Erpressergruppe LAPSUS$ deckt Sicherheitslücken auf 

Die LAPSUS$-Gruppe, die Berichten zufolge aus Teenagern besteht, tauchte Ende letzten Jahres plötzlich in der Cyberszene auf. Sie wurde zu ➡ Weiterlesen

Ransomware-Volumen in Q1-2022 höher wie in ganz 2021!

WatchGuard veröffentlicht seinen Internet Security Report. Das wichtigste Ergebnis zuerst: das Ransomware-Volumen ist im ersten Quartal 2022 bereits doppelt so ➡ Weiterlesen

Whitelist-DNS-Filter und Remote-Browser vs. Ransomware

IT-Security-Experte ProSoft empfiehlt zwei Verteidigungsstrategien gegen Ransomware-Angriffe auf die Unternehmens-IT: Whitelist-DNS-Filter und Remote-Browser helfen erfolgreich gegen Ransomware. Zwölf Prozent aller ➡ Weiterlesen

Stadtverwaltung Burladingen durch Ransomware lahmgelegt

Immer mehr Stadtverwaltungen in kleinen und großen Städten werden durch Ransomware lahmgelegt und erpresst. Nun ist die Baden-Württembergische Stadt Burladingen ➡ Weiterlesen