Rilevamento di HavanaCrypt: Nuova Famiglia di Ransomware Causa Ingenti Danni

Un nuovo pacchetto ransomware chiamato HavanaCrypt è rapidamente entrato in operazione all’inizio di quest’estate e ha già causato una buona dose di problemi. HavanaCrypt è un malware compilato in .NET che utilizza uno strumento di offuscamento open-source chiamato Obfuscar per facilitare la sicurezza del codice in un assembly .NET.

Gli operatori del ransomware utilizzano l’indirizzo IP del servizio di hosting Web di Microsoft come server C&C per evitare il rilevamento.

Rileva il Ransomware HavanaCrypt

Per rilevare rapidamente questo nuovo ceppo di ransomware, sfrutta un set di contenuti di rilevamento recentemente rilasciati. Le regole basate su Sigma rilevano la richiesta di HavanaCrypt al server C2 per ottenere la chiave segreta e la chiave di crittografia e la sua persistenza all’interno di un sistema infetto:

Rilevazione Ransomware HavanaCrypt

Complimenti al nostro talentuoso Programma Bounty di Minaccia membro Wirapong Petshagun per il rilascio di contenuti di rilevamento di alta qualità e affidabili. Le regole Sigma sono allineate con il quadro MITRE ATT&CK® per una maggiore visibilità delle minacce.

Clicca il pulsante Visualizza Rilevamenti per raggiungere la piattaforma di SOC Prime che ospita una collezione completa di algoritmi di rilevamento, consentendo ai team di restare continuamente aggiornati sulle emergenti minacce ransomware. Gli utenti non registrati possono provare la piattaforma esplorando il motore di ricerca di Threat Hunting, il primo del suo genere. motore di ricerca. Premi il pulsante Esplora Contesto Minaccia per saperne di più.

Rileva & Caccia pulsante Esplora Contesto Minaccia

Descrizione Ransomware HavanaCrypt

I ricercatori di sicurezza di Trend Micro hanno scoperto una nuova famiglia di ransomware chiamata HavanaCrypt. Il ceppo impiega tecniche sofisticate di anti-virtualizzazione, avendo anche la funzionalità di determinare se il binario dannoso è stato eseguito in un ambiente virtualizzato in un processo di verifica in quattro fasi e di terminare i suoi processi al riscontro di un risultato positivo. Dopo aver determinato che non sta operando in un ambiente virtuale, HavanaCrypt scarica ed esegue un file batch dal suo server C&C da un servizio di hosting Microsoft. Il ransomware uccide anche circa 100 processi di sistema di programmi desktop come Microsoft Office e Steam o applicazioni legate a database come SQL e MySQL. HavanaCrypt elimina le copie shadow e scansiona per istanze di ripristino.

Gli operatori del ransomware non lasciano una nota di riscatto – un indicatore che il ceppo appena scoperto è ancora in fase di sviluppo attivo.

I ricercatori di cybersecurity e i Cacciatori di Minacce in cerca di nuove modalità per potenziare le proprie competenze professionali mentre contribuiscono all’esperienza collaborativa sono i benvenuti ad unirsi ai ranghi del nostro Programma Bounty di Minaccia. Entrando in questa iniziativa di crowdsourcing e condividendo le loro regole Sigma e YARA con i colleghi del settore, i professionisti della cybersecurity ottengono l’opportunità di monetizzare i loro contenuti di rilevamento contribuendo a una difesa informatica a prova di futuro.