HavanaCrypt Ransomware-Erkennung: Neue Ransomware-Familie verursacht Chaos
Inhaltsverzeichnis:
Ein neues Ransomware-Paket mit dem Namen HavanaCrypt wurde Anfang dieses Sommers schnell in Betrieb genommen und hat bereits einige Probleme verursacht. HavanaCrypt ist eine in .NET kompilierte Malware, die ein Open-Source-Obfuskationstool namens Obfuscar verwendet, um die Codesicherheit in einer .NET-Assembly zu erleichtern.
Die Ransomware-Betreiber verwenden die IP-Adresse des Microsoft Webhosting-Dienstes als C&C-Server, um eine Erkennung zu vermeiden.
HavanaCrypt Ransomware erkennen
Um diesen neu entdeckten Ransomware-Stamm schnell zu erkennen, nutzen Sie eine Reihe kürzlich veröffentlichter Erkennungsinhalte. Die Sigma-basierten Regeln erkennen die HavanaCrypt-Anfrage an den C2-Server, um den geheimen Schlüssel und den Verschlüsselungsschlüssel zu erhalten, sowie ihre Persistenz in einem infizierten System:
HavanaCrypt Ransomware Erkennung
Hut ab vor unserem talentierten Threat Bounty Program Mitglied Wirapong Petshagun für die Veröffentlichung qualitativ hochwertiger und zuverlässiger Erkennungsinhalte. Die Sigma-Regeln sind an das MITRE ATT&CK®-Framework für verbesserte Bedrohungstransparenz ausgerichtet.
Klicken Sie auf die Erkennungen anzeigen -Schaltfläche, um die Plattform von SOC Prime zu erreichen, die eine umfassende Sammlung von Erkennungsalgorithmen hostet und es Teams ermöglicht, kontinuierlich über aufkommende Ransomware-Bedrohungen auf dem Laufenden zu bleiben. Nicht registrierte Benutzer können die Plattform ausprobieren, indem sie die neuartige Threat Hunting Suchmaschineerkunden. Drücken Sie die Kontext erkunden -Schaltfläche, um mehr zu erfahren.
Erkennen & Jagen Kontext erkunden
HavanaCrypt Ransomware Beschreibung
Sicherheitsforscher von Trend Micro entdeckten eine neue Ransomware-Familie namens HavanaCrypt. Der Stamm wendet ausgeklügelte Anti-Virtualisierungstechniken an und hat auch die Funktion, zu bestimmen, ob das bösartige Binärprogramm in einer virtualisierten Umgebung in einem vierstufigen Verifizierungsprozess ausgeführt wurde, und beendet seine Prozesse bei einem positiven Identifikationsergebnis. Nachdem festgestellt wurde, dass es nicht in einer virtuellen Umgebung arbeitet, lädt HavanaCrypt eine Batch-Datei von seinem C&C-Server eines Microsoft-Hosting-Dienstes herunter und führt sie aus. Die Ransomware beendet auch etwa 100 Systemprozesse von Desktop-Programmen wie Microsoft Office und Steam oder datenbankbezogenen Anwendungen wie SQL und MySQL. HavanaCrypt löscht Schattenkopien und scannt nach Wiederherstellungsinstanzen.
Die Ransomware-Betreiber hinterlassen keine Lösegeldforderung – ein Hinweis darauf, dass der neu entdeckte Stamm noch in der aktiven Entwicklung ist.
Cybersicherheitsforscher und Threat Hunter, die nach neuen Wegen suchen, um ihre beruflichen Fähigkeiten zu verbessern und gleichzeitig zur gemeinsamen Expertise beizutragen, sind herzlich eingeladen, sich unseren Reihen im Threat Bounty Programanzuschließen. Indem sie sich dieser Crowdsourcing-Initiative anschließen und ihre Sigma- und YARA-Regeln mit Branchenkollegen teilen, haben Cybersicherheitsprofis die Möglichkeit, ihre Erkennungsinhalte zu monetarisieren und gleichzeitig zu einer zukunftssicheren Cyber-Abwehr beizutragen.
