HavanaCrypt — нова програма-вимагач. Його важко виявити, він маскується під фальшиве оновлення Google і використовує в атаках функції Microsoft. Очевидно, вони хочуть використовувати Tot як зв’язок, оскільки такий каталог явно не зашифрований.
Зловмисники часто зловживають довірою користувачів у своїх атаках, щоб обійти захисні заходи компаній. Отже, використання довірених адресних просторів і хостів, які більшість компаній вважають легітимними, безпечними та внесеними до білого списку, не є новим. Наприклад, кіберзлочинці використовують хостинг AWS або захоплюють інші «чисті» хости чи адресні простори. Однак не лише надійні адреси використовуються для атак програм-вимагачів, але й загалом надійні інструменти та програми, які використовуються багатьма компаніями.
HavanaCrypt лише тестовий запуск?
«Відповідно, традиційні заходи виявлення та захисту, які покладаються на статичні індикатори та сигнатури або довіряють певним адресним просторам, програмам, користувачам або процесам, давно зазнали невдачі. Натомість кіберзахист підприємства має базуватися на виявленні поведінкових моделей на основі фактичних TTP (тактики, техніки, процедури) зловмисників. Не слід покладатися на один інструмент безпеки або на підхід, який автоматично класифікує певні елементи системи як надійні чи ненадійні. Пом’якшення загрози потрібно точно налаштувати відповідно до того, що насправді роблять зловмисники. Це вимагає безперервних досліджень і розробок, оскільки вони змінюються майже щодня з огляду на безліч можливих атак. Все це потрібно враховувати в заходах безпеки», — пояснює Даніель Танос, віце-президент Arctic Wolf Labs.
Викуп після нападу не вимагався
«Дуже ймовірно, що автор програми-вимагача HavanaCrypt планує спілкуватися через браузер Tor, оскільки Tor є одним із каталогів, де він запобігає шифруванню файлів. Наразі HavanaCrypt не залишає записки про викуп, що може свідчити про те, що він все ще розробляється. Якщо він справді все ще знаходиться в бета-версії, компаніям слід скористатися можливістю підготуватися до нього. Якщо використовується Tor, браузер має бути заблокований — більшість компаній все одно не використовують Tor», — каже Даніель Танос.
Дізнайтеся більше про HavanaCrypt
- Маскується під програму оновлення програмного забезпечення Google
- Використовує веб-хостинг Microsoft як командний і контрольний сервер для обходу виявлення
- Використовує функцію QueueUserWorkItem, метод простору імен .NET System.Threading. Крім того, програма-вимагач використовує модулі KeePass Password Safe, менеджера паролів з відкритим кодом, під час шифрування файлів.
- Це скомпільована програма .NET і захищена Obfuscar, обфускатором .NET з відкритим кодом, який захищає код у збірці .NET.
- Має кілька методів антивіртуалізації, щоб уникнути динамічного аналізу під час роботи у віртуальній машині.
- Переконавшись, що комп’ютер жертви не запущено на віртуальній машині, HavanaCrypt завантажує файл під назвою «2.txt» з 20[.]227[.]128[.]33, IP-адреси служби веб-хостингу Microsoft, і зберігає його як пакетний файл (.bat) із назвою файлу, що містить від 20 до 25 випадкових символів.
- Використовує модулі з KeePass Password Safe під час процедури шифрування. Зокрема, він використовує функцію CryptoRandom для генерації випадкових ключів, необхідних для шифрування.
- Шифрує файли та додає «.Havana» як розширення імені файлу.
Про Арктичного вовка Arctic Wolf є світовим лідером у сфері операцій безпеки, надаючи першу хмарну платформу операцій безпеки для зменшення кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf використовують понад 2.000 клієнтів по всьому світу. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.