HavanaCrypt yeni bir fidye yazılımıdır. Tespit edilmesi zordur, sahte bir Google güncellemesi kılığına girer ve saldırılarda Microsoft işlevlerini kullanır. Görünüşe göre Tot'u iletişim olarak kullanmak istiyorlar, çünkü böyle bir dizin açıkça şifrelenmemiş.
Saldırganlar, genellikle şirketlerin koruyucu önlemlerini atlatmak için saldırılarında kullanıcıların güvenini kötüye kullanır. Bu nedenle, çoğu şirketin meşru, güvenli ve beyaz listeye alınmış olarak kabul ettiği güvenilir adres alanlarını ve ana bilgisayarları kullanmak yeni değildir. Örneğin, siber suçlular AWS barındırma kullanır veya diğer "temiz" ana bilgisayarları veya adres alanlarını ele geçirir. Bununla birlikte, fidye yazılımı saldırıları için kötüye kullanılanlar yalnızca güvenilir adresler değil, aynı zamanda birçok şirkette kullanılan genel olarak güvenilir araçlar ve uygulamalardır.
HavanaCrypt sadece bir test çalıştırması mı?
Buna göre, statik göstergelere ve imzalara dayanan veya belirli adres alanlarına, uygulamalara, kullanıcılara veya işlemlere güvenen geleneksel tespit ve savunma önlemleri uzun zaman önce başarısız oldu. Bunun yerine, kurumsal siber savunmalar, saldırganların gerçek TTP'lerine (Taktikler, Teknikler, Prosedürler) dayalı davranışsal model tespitine dayanmalıdır. Tek bir güvenlik aracına veya belirli sistem öğelerini otomatik olarak güvenilir veya güvenilmez olarak sınıflandıran bir yaklaşıma güvenilmemelidir. Tehdit azaltmanın, saldırganların gerçekte ne yaptığına göre ayarlanması gerekir. Bu, sürekli araştırma ve geliştirme gerektirir, çünkü bunlar çok sayıda olası saldırı göz önüne alındığında neredeyse her gün değişir. Tüm bunların güvenlik önlemlerinde dikkate alınması gerekiyor,” diye açıklıyor Arctic Wolf Labs Başkan Yardımcısı Daniel Thanos.
Saldırıdan sonra fidye talebi yok
“Tor, dosyaların şifrelenmesini önlediği dizinlerden biri olduğundan, HavanaCrypt fidye yazılımının yazarının Tor tarayıcısı aracılığıyla iletişim kurmayı planlaması çok muhtemeldir. Şu anda HavanaCrypt, hala geliştirme aşamasında olduğunu gösteren bir fidye notu bırakmıyor. Gerçekten de hala beta aşamasındaysa, şirketler buna hazırlanma fırsatını değerlendirmeli. Tor kullanılıyorsa, tarayıcı engellenmelidir - zaten çoğu şirket Tor kullanmıyor," diyor Daniel Thanos.
HavanaCrypt hakkında daha fazla bilgi edinin
- Kendini bir Google yazılım güncelleme uygulaması olarak gizleyin
- Tespiti atlamak için bir komut ve kontrol sunucusu olarak Microsoft web barındırma kullanır
- .NET System.Threading ad alanının bir yöntemi olan QueueUserWorkItem işlevini kullanır. Ayrıca fidye yazılımı, dosya şifreleme sırasında açık kaynaklı bir parola yöneticisi olan KeePass Password Safe'in modüllerini kullanır.
- .NET derlenmiş bir uygulamadır ve bir .NET derlemesindeki kodu koruyan açık kaynaklı bir .NET karartıcı olan Obfuscar tarafından korunur.
- Bir sanal makinede çalışırken dinamik analizden kaçınmak için birkaç sanallaştırma önleme tekniğine sahiptir.
- HavanaCrypt, kurbanın bilgisayarının sanal bir makinede çalışmadığından emin olduktan sonra, bir Microsoft web barındırma hizmetinden bir IP adresi olan 2[.]20[.]227[.]128'ten "33.txt" adlı bir dosya indirir, ve 20 ila 25 rasgele karakter içeren bir dosya adına sahip bir toplu iş (.bat) dosyası olarak kaydeder.
- Şifreleme rutini sırasında KeePass Password Safe'teki modülleri kullanır. Özellikle, şifreleme için gereken rasgele anahtarları oluşturmak için CryptoRandom işlevini kullanır.
- Dosyaları şifreler ve dosya adı uzantısı olarak “.Havana” ekler.
Arktik Kurt Hakkında Arctic Wolf, siber riski azaltmak için ilk bulut tabanlı güvenlik operasyonları platformunu sağlayan güvenlik operasyonlarında dünya lideridir. Uç nokta, ağ ve bulut kaynaklarını kapsayan tehdit telemetrisine dayanan Arctic Wolf® Security Operations Cloud, dünya çapında haftada 1,6 trilyondan fazla güvenlik olayını analiz eder. Neredeyse tüm güvenlik kullanım durumlarına ilişkin şirket açısından kritik içgörüler sağlar ve müşterilerin heterojen güvenlik çözümlerini optimize eder. Arctic Wolf platformu, dünya çapında 2.000'den fazla müşteri tarafından kullanılmaktadır. Otomatik tehdit tespiti ve yanıtı sağlayarak, her büyüklükteki kuruluşun tek bir düğmeye dokunarak birinci sınıf güvenlik operasyonları kurmasını sağlar.