HavanaCrypt ランサムウェア検出: 新しいランサムウェアファミリーが大混乱を引き起こす

[post-views]
8月 26, 2022 · 7 分で読めます
HavanaCrypt ランサムウェア検出: 新しいランサムウェアファミリーが大混乱を引き起こす

今夏初、HavanaCryptと名付けられた新しいランサムウェアパッケージが迅速に活動を始め、すでに多くの問題を引き起こしています。HavanaCryptは、.NETアセンブリでコードの安全性を促進するためにObfuscarというオープンソースの難読化ツールを使用する.NETでコンパイルされたマルウェアです。

ランサムウェアの運営者は、MicrosoftのWebホスティングサービスのIPアドレスをC&Cサーバとして使用し、検出を回避しています。

HavanaCryptランサムウェアを検出

この新たに発見されたランサムウェアの株を迅速に検出するためには、最近リリースされた検出コンテンツのセットを活用してください。 Sigmaベースのルール HavanaCryptがC2サーバに送るリクエストを検出し、秘密鍵と暗号鍵を取得し、感染システム内での持続性を維持します。

HavanaCryptランサムウェアの検出

我々の才能ある Threat Bounty Program メンバー Wirapong Petshagun に、高品質で信頼性の高い検出コンテンツをリリースしていただきありがとうございます。Sigmaルールは、 MITRE ATT&CK®フレームワーク と整合しており、脅威の可視性を向上させます。

をクリックして、 検出を見る ボタンで、チームが新たなランサムウェアの脅威を絶えず把握できる包括的な検出アルゴリズムのコレクションをホストしているSOC Primeのプラットフォームにアクセスできます。非登録ユーザーは、一見の価値があるThreat Hunting サーチエンジンを探索して、このプラットフォームを試すことができます。もっと知りたい方は 脅威コンテキストを探る ボタンを押してください。

検出&ハント 脅威コンテキストを探る

HavanaCryptランサムウェアの説明

のセキュリティ研究者たちは、HavanaCryptと名付けられた新しいランサムウェアファミリーを発見しました。この株は、高度なアンチ仮想化技術を採用しており、悪意あるバイナリが仮想化環境で実行されたかどうかを4段階の検証プロセスで判定し、陽性と判断された場合にプロセスを終了する機能があります。仮想環境で動作していないと判断すると、HavanaCryptはMicrosoftホスティングサービスからC&Cサーバからバッチファイルをダウンロードして実行します。このランサムウェアは、Microsoft OfficeやSteamといったデスクトッププログラムや、SQLやMySQLのようなデータベース関連アプリケーションの約100のシステムプロセスを終了します。HavanaCryptはシャドウコピーを削除し、復元インスタンスをスキャンします。 のセキュリティ研究者たちは、HavanaCryptと名付けられた新しいランサムウェアファミリーを発見しました。この株は、高度なアンチ仮想化技術を採用しており、悪意あるバイナリが仮想化環境で実行されたかどうかを4段階の検証プロセスで判定し、陽性と判断された場合にプロセスを終了する機能があります。仮想環境で動作していないと判断すると、HavanaCryptはMicrosoftホスティングサービスからC&Cサーバからバッチファイルをダウンロードして実行します。このランサムウェアは、Microsoft OfficeやSteamといったデスクトッププログラムや、SQLやMySQLのようなデータベース関連アプリケーションの約100のシステムプロセスを終了します。HavanaCryptはシャドウコピーを削除し、復元インスタンスをスキャンします。 discovered a new ransomware family named HavanaCrypt. The strain employs sophisticated anti-virtualization techniques, also having the functionality to determine whether the malicious binary was executed in a virtualized environment in a four-step verification process and terminate its processes upon a positive identification outcome. After determining that it isn’t operating in a virtual environment, HavanaCrypt downloads and runs a batch file from its C&C server from a Microsoft hosting service. The ransomware also kills about 100 system processes of desktop programs such as Microsoft Office and Steam or database-related applications like SQL and MySQL. HavanaCrypt deletes shadow copies and scans for restoring instances.

ランサムウェアの運営者は身代金メモを残さず、まだ新たに発見された株が進行中の開発段階であることを示す指標となっています。

サイバーセキュリティ研究者や脅威ハンターの方々で、共同の専門知識への貢献をしながらプロフェッショナルスキルを向上させる新しい方法を探している方は、是非我々の Threat Bounty Programに参加しませんか。このクラウドソーシングイニシアチブに参加し、自らのSigmaおよびYARAルールを業界の仲間と共有することで、サイバーセキュリティの専門家は独自の検出コンテンツを収益化しつつ、将来に備えたサイバー防衛に貢献する機会を得ることができます。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Interlockランサムウェアの検出:FBIとCISAがClickFixを悪用した大規模攻撃に共同警告 5 分で読めます 最新の脅威 Interlockランサムウェアの検出:FBIとCISAがClickFixを悪用した大規模攻撃に共同警告 by Veronika Telychko Interlockランサムウェアの検出:FileFix経由で新たなPHPベースのRATを展開 7 分で読めます 最新の脅威 Interlockランサムウェアの検出:FileFix経由で新たなPHPベースのRATを展開 by Veronika Telychko BERTランサムウェアの検出:WindowsとLinuxを標的としたアジア・欧州・米国での攻撃 8 分で読めます 最新の脅威 BERTランサムウェアの検出:WindowsとLinuxを標的としたアジア・欧州・米国での攻撃 by Veronika Telychko
すべてのニュース