Detección del Ransomware HavanaCrypt: Nueva Familia de Ransomware Causa Estragos

Un nuevo paquete de ransomware llamado HavanaCrypt se catapultó rápidamente en operación a principios de este verano y ya ha causado una buena cantidad de problemas. HavanaCrypt es un malware compilado en .NET que utiliza una herramienta de ofuscación de código abierto llamada Obfuscar para facilitar la seguridad del código en una asamblea de .NET.

Los operadores del ransomware utilizan la dirección IP del servicio de alojamiento web de Microsoft como su servidor C&C para evitar la detección.

Detectar el Ransomware HavanaCrypt

Para detectar rápidamente esta cepa de ransomware recién descubierta, aproveche un conjunto de piezas de contenido de detección recientemente liberadas. Las reglas basadas en Sigma detectan la solicitud de HavanaCrypt al servidor C2 para obtener la clave secreta y de cifrado y su persistencia dentro de un sistema infectado:

Detección del Ransomware HavanaCrypt

Felicitaciones a nuestro talentoso miembro del Programa de Amenazas Bounty miembro Wirapong Petshagun por liberar piezas de contenido de detección de alta calidad y confiabilidad. Las reglas Sigma están alineadas con el marco MITRE ATT&CK® para una mayor visibilidad de las amenazas.

Haga clic en el botón Ver Detecciones para acceder a la plataforma de SOC Prime que alberga una colección integral de algoritmos de detección que permiten a los equipos mantenerse al tanto de las amenazas de ransomware emergentes. Los usuarios no registrados pueden probar la plataforma explorando el motor de búsqueda de Threat Hunting pionero en su tipo. motor de búsqueda. Pulse el botón Explorar Contexto de Amenazas para aprender más.

Detectar y Cazar botón Explorar Contexto de Amenazas

Descripción del Ransomware HavanaCrypt

Investigadores de seguridad de Trend Micro descubrieron una nueva familia de ransomware llamada HavanaCrypt. La cepa emplea técnicas sofisticadas de anti-virtualización, también teniendo la funcionalidad para determinar si el binario malicioso se ejecutó en un entorno virtual por medio de un proceso de verificación de cuatro pasos y termina sus procesos al obtener un resultado positivo. Después de determinar que no está funcionando en un entorno virtual, HavanaCrypt descarga y ejecuta un archivo de procesamiento por lotes desde su servidor C&C desde un servicio de alojamiento de Microsoft. El ransomware también mata alrededor de 100 procesos del sistema de programas de escritorio como Microsoft Office y Steam o aplicaciones relacionadas con bases de datos como SQL y MySQL. HavanaCrypt elimina copias de sombra y escanea para instancias de restauración.

Los operadores del ransomware no dejan una nota de rescate, un indicador de que la cepa recién descubierta todavía está en desarrollo activo.

Se da la bienvenida a los investigadores de ciberseguridad y los Cazadores de Amenazas que buscan nuevas formas de mejorar sus habilidades profesionales mientras contribuyen a la experiencia colaborativa para unirse a las filas de nuestro Programa de Amenazas Bounty. Al ingresar a esta iniciativa de crowdsourcing y compartir sus reglas Sigma y YARA con compañeros de la industria, los profesionales de ciberseguridad tienen la oportunidad de monetizar su contenido de detección mientras contribuyen a una defensa cibernética a prueba de futuro.