Keine Zigarren, sondern Ransomware: HavanaCrypt tarnt sich als legitimes Update und implementiert Anti-Virtualisierungs-Mechanismen. Angreifer missbrauchen bei ihren Attacken häufig das Vertrauen von Nutzern, um die Schutzmaßnahmen von Unternehmen zu umgehen. Die Verwendung von vertrauenswürdigen Adressräumen und Hosts, die von den meisten Unternehmen als seriös und sicher eingestuft werden und auf der Whitelist stehen, ist also nicht neu.
Cyberkriminelle nutzen zum Beispiel AWS-Hosting oder kapern andere saubere Hosts oder Adressräume. Doch es sind nicht nur vertrauenswürdige Adressen, die für Ransomware-Angriffe missbraucht werden, sondern auch allgemein als vertrauenswürdig eingestufte Tools und Anwendungen, die in vielen Unternehmen zum Einsatz kommen.
Eine Untersuchung von Trend Micro zeigt, dass die HavanaCrypt-Ransomware die QueueUserWorkItem-Funktion, eine Methode aus dem .NET System.Threading-Namensraum, die eine Methode zur Ausführung in eine Warteschlange stellt, sowie die Module von KeePass Password Safe, einem Open-Source-Passwortmanager, während ihrer Dateiverschlüsselungsroutine verwendet.
Bei dieser Malware handelt es sich um eine .NET-kompilierte Anwendung, die durch Obfuscar geschützt ist, einen Open-Source-.NET-Obfuskator, der dazu dient, Codes in einer .NET-Assembly zu schützen.
Die Malware verfügt außerdem über mehrere Anti-Virtualisierungstechniken, mit denen sie eine dynamische Analyse vermeiden kann, wenn sie in einer virtuellen Maschine ausgeführt wird. Zur Analyse des Beispiels und zur Generierung des entschleierten Codes haben wir Tools wie de4dot und DeObfuscar verwendet.
HavanaCrypt überprüft dann die AutoRun-Registrierung, um festzustellen, ob die „GoogleUpdate“-Registrierung vorhanden ist. Wenn die Registrierung nicht vorhanden ist, fährt die Malware mit ihrer bösartigen Routine fort.
Anschließend fährt HavanaCrypt mit seiner Anti-Virtualisierungsroutine fort, bei der es sich selbst beendet, wenn es feststellt, dass das System in einer virtuellen Maschinenumgebung läuft. HavanaCrypt prüft in vier Stufen, ob der infizierte Rechner in einer virtualisierten Umgebung läuft.
„Entsprechend haben herkömmliche Detection- und Defense-Maßnahmen, die auf statischen Indikatoren und Signaturen beruhen oder bestimmte Adressräume, Anwendungen, Nutzer oder Prozesse als vertrauenswürdig einstufen, schon vor langer Zeit versagt. Stattdessen sollte die Cyberabwehr von Unternehmen auf der Erkennung von Verhaltensmustern basieren, die auf den tatsächlichen TTPs (Tactics, Techniques, Procedures) der Angreifer beruhen. Man sollte sich nicht auf ein einziges Sicherheitstool verlassen oder auf einen Ansatz, der bestimmte Systemelemente automatisch als vertrauenswürdig oder nicht vertrauenswürdig einstuft. Die Bedrohungsabwehr muss genau auf die tatsächlichen Vorgehensweisen der Angreifer abgestimmt werden. Das erfordert kontinuierliche Forschung und Weiterentwicklung, da sich diese bei der Vielzahl möglicher Angriffe fast täglich ändern. All das muss bei Sicherheitsmaßnahmen bedacht werden“, erklärt Daniel Thanos, VP, Arctic Wolf Labs.
„Es ist sehr wahrscheinlich, dass der Autor der HavanaCrypt-Ransomware plant, über den Tor-Browser zu kommunizieren, da Tor zu den Verzeichnissen gehört, in denen er die Verschlüsselung von Dateien verhindert. Aktuell hinterlässt HavanaCrypt keine Lösegeldforderung, was ein Hinweis darauf sein könnte, dass sie sich noch in der Entwicklungsphase befindet. Wenn sie sich tatsächlich noch in der Beta-Phase befindet, sollten Unternehmen die Chance nutzen, sich darauf vorzubereiten. Für den Fall, dass Tor verwendet wird, sollte der Browser blockiert werden – in den meisten Unternehmen wird Tor ohnehin nicht gebraucht“, so Daniel Thanos.
Weitere Erkenntnisse über HavanaCrypt:
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…