Detecção do Ransomware HavanaCrypt: Nova Família de Ransomware Causa Estragos

Um novo pacote de ransomware chamado HavanaCrypt entrou rapidamente em operação no início deste verão e já causou uma boa quantidade de problemas. HavanaCrypt é um malware compilado em .NET que usa uma ferramenta de ofuscação de código aberto chamada Obfuscar para facilitar a segurança do código em um assembly .NET.

Os operadores do ransomware usam o endereço IP do serviço de hospedagem Web da Microsoft como seu servidor C&C para evitar a detecção.

Detectar Ransomware HavanaCrypt

Para detectar rapidamente essa cepa recém-descoberta de ransomware, utilize um conjunto de conteúdos de detecção lançados recentemente. As regras baseadas em Sigma detectam a solicitação do HavanaCrypt ao servidor C2 para obter a chave secreta e a chave de criptografia, além de sua persistência em um sistema infectado:

Detecção de Ransomware HavanaCrypt

Aplausos para o nosso talentoso Threat Bounty Program membro Wirapong Petshagun por liberar conteúdos de detecção de alta qualidade e fiabilidade. As regras Sigma estão alinhadas com o framework MITRE ATT&CK® para maior visibilidade de ameaças.

Clique no botão Ver Detecções para acessar a plataforma da SOC Prime hospedando uma coleção abrangente de algoritmos de detecção que permitem às equipes manter-se continuamente atualizadas sobre ameaças emergentes de ransomware. Usuários não registrados podem experimentar a plataforma explorando o inédito motor de buscade Caça à Ameaça. Aperte o botão Explorar Contexto da Ameaça para saber mais.

Detectar & Caçar Explorar Contexto da Ameaça

Descrição do Ransomware HavanaCrypt

Pesquisadores de segurança da Trend Micro descobriram uma nova família de ransomware chamada HavanaCrypt. A cepa emprega técnicas sofisticadas de anti-virtualização, também tendo a funcionalidade de determinar se o binário malicioso foi executado em um ambiente virtualizado em um processo de verificação de quatro etapas e termina seus processos após um resultado positivo de identificação. Após determinar que não está operando em um ambiente virtual, o HavanaCrypt baixa e executa um arquivo em lote de seu servidor C&C de um serviço de hospedagem da Microsoft. O ransomware também encerra cerca de 100 processos de sistema de programas de desktop como Microsoft Office e Steam ou aplicativos relacionados a bancos de dados como SQL e MySQL. HavanaCrypt exclui cópias de sombra e verifica instâncias de restauração.

Os operadores do ransomware não deixam uma nota de resgate – um indicador de que a nova cepa descoberta ainda está em desenvolvimento ativo.

Pesquisadores de segurança cibernética e Caçadores de Ameaças que buscam novas maneiras de aprimorar suas habilidades profissionais enquanto contribuem para a expertise colaborativa são bem-vindos para se juntar às fileiras do nosso Threat Bounty Program. Ao entrar nesta iniciativa de crowdsourcing e compartilhar suas regras Sigma e YARA com colegas da indústria, os profissionais de cibersegurança têm a oportunidade de monetizar seu conteúdo de detecção enquanto contribuem para uma defesa cibernética à prova de futuro.