Détection du Ransomware HavanaCrypt : Une Nouvelle Famille de Ransomwares Sévit

Un nouveau paquet de ransomware surnommé HavanaCrypt a rapidement été mis en opération plus tôt cet été et a déjà causé pas mal de soucis. HavanaCrypt est un malware compilé en .NET qui utilise un outil d’obfuscation open-source appelé Obfuscar pour faciliter la sécurité du code dans un assembly .NET.

Les opérateurs de ransomware utilisent l’adresse IP du service d’hébergement Web de Microsoft comme serveur C&C afin d’éviter la détection.

Détecter Ransomware HavanaCrypt

Pour détecter rapidement cette nouvelle souche de ransomware, exploitez un ensemble de contenus de détection récemment publiés. Les règles basées sur Sigma détectent la requête HavanaCrypt au serveur C2 pour obtenir la clé secrète et la clé de cryptage ainsi que sa persistance au sein d’un système infecté :

Détection des Ransomware HavanaCrypt

Félicitations à notre talentueux Programme de prime de menace membre Wirapong Petshagun pour avoir publié des contenus de détection de haute qualité et fiables. Les règles Sigma sont alignées avec le Cadre MITRE ATT&CK® pour une meilleure visibilité des menaces.

Cliquez sur le bouton Voir les détections pour accéder à la plateforme SOC Prime qui héberge une collection complète d’algorithmes de détection permettant aux équipes de se tenir informées en continu des menaces de ransomware émergentes. Les utilisateurs non enregistrés peuvent essayer la plateforme en explorant le premier moteur de recherche Threat Hunting de son genre. moteur de recherche. Appuyez sur le bouton Explorer le contexte des menaces pour en savoir plus.

Détecter & Chasser bouton Explorer le contexte des menaces

Description du Ransomware HavanaCrypt

Les chercheurs en sécurité de Trend Micro ont découvert une nouvelle famille de ransomware nommée HavanaCrypt. La souche utilise des techniques anti-virtualisation sophistiquées, possédant également la fonctionnalité de déterminer si le binaire malveillant a été exécuté dans un environnement virtualisé dans un processus de vérification en quatre étapes et de terminer ses processus en cas de résultat positif. Après avoir déterminé qu’il ne fonctionne pas dans un environnement virtuel, HavanaCrypt télécharge et exécute un fichier batch depuis son serveur C&C à partir d’un service d’hébergement Microsoft. Le ransomware tue également environ 100 processus système de programmes de bureau tels que Microsoft Office et Steam ou d’applications liées à des bases de données comme SQL et MySQL. HavanaCrypt supprime les copies de l’ombre et analyse les instances de restauration.

Les opérateurs de ransomware ne laissent pas de note de rançon – un indicateur que la nouvelle souche découverte est encore en développement actif.

Les chercheurs en cybersécurité et les Chasseurs de menaces à la recherche de nouvelles façons d’améliorer leurs compétences professionnelles tout en contribuant à l’expertise collaborative sont les bienvenus pour rejoindre les rangs de notre Programme de prime de menace. En entrant dans cette initiative de crowdsourcing et en partageant leurs règles Sigma et YARA avec leurs pairs de l’industrie, les professionnels de la cybersécurité ont l’occasion de monétiser leur contenu de détection tout en contribuant à une défense cybernétique à l’épreuve du temps.