하바나크립트 랜섬웨어 감지: 새로운 랜섬웨어 패밀리가 혼란을 초래하다

HavanaCrypt라는 새로운 랜섬웨어 패키지가 지난여름 빠르게 운영을 시작해 이미 꽤 많은 문제를 일으켰습니다. HavanaCrypt는 .NET 어셈블리의 코드 보안을 용이하게 하기 위해 Obfuscar라는 오픈 소스 난독화 도구를 사용하는 .NET으로 컴파일된 악성 소프트웨어입니다.

랜섬웨어 운영자들은 탐지를 피하기 위해 Microsoft 웹 호스팅 서비스 IP 주소를 C&C 서버로 사용합니다.

HavanaCrypt 랜섬웨어 탐지

이 새로 발견된 랜섬웨어 변종을 신속히 탐지하기 위해 최근 발표된 탐지 콘텐츠를 활용하십시오. 이 Sigma 기반 규칙들은 비밀 키와 암호 키를 얻기 위해 HavanaCrypt가 C2 서버에 요청을 보내는 것과 감염된 시스템 내에서의 지속성을 탐지합니다.

HavanaCrypt 랜섬웨어 탐지

재능 있는 Threat Bounty Program 멤버 Wirapong Petshagun 에게 고품질의 신뢰할 수 있는 탐지 콘텐츠를 공개한 것에 대한 찬사를 보냅니다. Sigma 규칙들은 MITRE ATT&CK® 프레임워크 와 맞추어 위협 가시성을 향상시켰습니다.

을(를) 클릭하여 탐지 보기 버튼을 눌러 소크 프라임의 플랫폼에 접속합니다. 이 플랫폼은 다양한 랜섬웨어 위협에 지속적으로 대비할 수 있게 하는 탐지 알고리즘 모음을 호스팅합니다. 비등록 사용자들은 최초의 형태인 Threat Hunting 검색 엔진을 경험해 볼 수 있습니다. 위협 컨텍스트 탐색 버튼을 눌러 더 알아보십시오.

탐지 및 사냥 위협 컨텍스트 탐색

HavanaCrypt 랜섬웨어 설명

의 보안 연구원들이 HavanaCrypt라는 새 랜섬웨어 패밀리를 발견했습니다. 이 변종은 정교한 안티-가상화 기법을 사용하며, 악의적인 바이너리가 가상화된 환경에서 실행되었는지 여부를 확인하는 4단계의 검증 과정을 거쳐 그 결과가 긍정적이면 프로세스를 종료합니다. 가상 환경에서 작동하지 않는 것이 확인되면, HavanaCrypt는 Microsoft 호스팅 서비스에서 C&C 서버로부터 배치 파일을 다운로드하여 실행합니다. 이 랜섬웨어는 또한 Microsoft Office, Steam 등의 데스크톱 프로그램이나 SQL, MySQL 같은 데이터베이스 관련 응용 프로그램의 약 100개의 시스템 프로세스를 종료합니다. HavanaCrypt는 쉐도우 복사본을 삭제하고 복원 인스턴스를 검색합니다. 의 보안 연구원들이 HavanaCrypt라는 새 랜섬웨어 패밀리를 발견했습니다. 이 변종은 정교한 안티-가상화 기법을 사용하며, 악의적인 바이너리가 가상화된 환경에서 실행되었는지 여부를 확인하는 4단계의 검증 과정을 거쳐 그 결과가 긍정적이면 프로세스를 종료합니다. 가상 환경에서 작동하지 않는 것이 확인되면, HavanaCrypt는 Microsoft 호스팅 서비스에서 C&C 서버로부터 배치 파일을 다운로드하여 실행합니다. 이 랜섬웨어는 또한 Microsoft Office, Steam 등의 데스크톱 프로그램이나 SQL, MySQL 같은 데이터베이스 관련 응용 프로그램의 약 100개의 시스템 프로세스를 종료합니다. HavanaCrypt는 쉐도우 복사본을 삭제하고 복원 인스턴스를 검색합니다. discovered a new ransomware family named HavanaCrypt. The strain employs sophisticated anti-virtualization techniques, also having the functionality to determine whether the malicious binary was executed in a virtualized environment in a four-step verification process and terminate its processes upon a positive identification outcome. After determining that it isn’t operating in a virtual environment, HavanaCrypt downloads and runs a batch file from its C&C server from a Microsoft hosting service. The ransomware also kills about 100 system processes of desktop programs such as Microsoft Office and Steam or database-related applications like SQL and MySQL. HavanaCrypt deletes shadow copies and scans for restoring instances.

랜섬웨어 운영자들은 몸값 노트를 남기지 않습니다. 이는 새로 발견된 변종이 아직 활발한 개발 중에 있음을 나타내는 지표입니다.

협업 전문성을 강화하면서 자신의 전문 기술을 증진시키기 위해 새로운 방법을 찾는 사이버 보안 연구원과 위협 사냥꾼들은 우리의 Threat Bounty Program의 일원이 되는 것을 환영합니다. 이 크라우드소싱 이니셔티브에 참가하여 산업 동료들과 자신의 Sigma와 YARA 규칙을 공유함으로써, 사이버 보안 전문가들은 탐지 콘텐츠를 수익으로 변화시키고 미래 지향적인 사이버 방어에 기여할 수 있는 기회를 얻게 됩니다.