Aktuelles, Branche - geschrieben von dp am Freitag, Juli 15, 2022 13:34 - noch keine Kommentare
HavanaCrypt: Neue Ransomware-Familie als Google-Update getarnt
Neue Ransomware schwer zu erkennen, warnt Daniel Thanos
[datensicherheit.de, 15.07.2022] „HavanaCrypt“ ist nach aktuellen Erkenntnissen der „Arctic Wolf Labs“ eine neue Ransomware. Diese sei schwer zu erkennen, denn sie tarne sich als Google-Update und nutze Microsoft-Funktionen im Rahmen der Attacken. Daniel Thanos, VP der „Arctic Wolf Labs“ bei Arctic Wolf®, geht in seiner Stellungnahme auf diese neue Malware ein und gibt Unternehmen Tipps zum richtigen Verhalten.
Ransomware-Angreifer missbrauchen bei Attacken häufig das Vertrauen der Nutzer
Thanos erläutert: „Angreifer missbrauchen bei ihren Attacken häufig das Vertrauen von Nutzern, um die Schutzmaßnahmen von Unternehmen zu umgehen. Die Verwendung von vertrauenswürdigen Adressräumen und Hosts, die von den meisten Unternehmen als seriös und sicher eingestuft werden und auf der ,Whitelist‘ stehen, ist also nicht neu.“
Cyber-Kriminelle nutzten zum Beispiel AWS-Hosting oder kaperten andere „saubere“ Hosts bzw. Adressräume. Doch es seien nicht nur vertrauenswürdige Adressen, welche für Ransomware-Angriffe missbraucht würden, sondern auch allgemein als vertrauenswürdig eingestufte, in vielen Unternehmen zum Einsatz kommende „Tools“ und Anwendungen.
Herkömmliche Detection- und Defense-Maßnahmen gegen Ransomware versagen
„Entsprechend haben herkömmliche Detection- und Defense-Maßnahmen, die auf statischen Indikatoren und Signaturen beruhen oder bestimmte Adressräume, Anwendungen, Nutzer oder Prozesse als vertrauenswürdig einstufen, schon vor langer Zeit versagt“, führt Thanos aus und rät: „Stattdessen sollte die Cyber-Abwehr von Unternehmen auf der Erkennung von Verhaltensmustern basieren, die auf den tatsächlichen TTPs (Tactics, Techniques, Procedures) der Angreifer beruhen.“
Man sollte sich indes nicht auf ein einziges „Sicherheitstool“ verlassen oder auf einen Ansatz, der bestimmte Systemelemente automatisch als „vertrauenswürdig“ oder „nicht vertrauenswürdig“ einstuft. Die Bedrohungsabwehr müsse genau auf die tatsächlichen Vorgehensweisen der Angreifer abgestimmt werden. Das erfordere kontinuierliche Forschung und Weiterentwicklung, da sich diese bei der Vielzahl möglicher Angriffe fast täglich änderten. „All das muss bei Sicherheitsmaßnahmen bedacht werden“, stellt Thanos klar.
Vermutlich möchte Autor der HavanaCrypt-Ransomware über Tor-Browser kommunizieren
„Es ist sehr wahrscheinlich, dass der Autor der ,HavanaCrypt‘-Ransomware plant, über den ,Tor‘-Browser zu kommunizieren, da ,Tor‘ zu den Verzeichnissen gehört, in denen er die Verschlüsselung von Dateien verhindert.“ Aktuell hinterlasse „HavanaCrypt“ keine Lösegeldforderung, was ein Hinweis darauf sein könnte, „dass sie sich noch in der Entwicklungsphase befindet“, vermutet Thanos.
Sein Tipp: „Wenn sie sich tatsächlich noch in der Beta-Phase befindet, sollten Unternehmen die Chance nutzen, sich darauf vorzubereiten.“ Für den Fall, dass „Tor“ verwendet wird, sollte der Browser blockiert werden – in den meisten Unternehmen werde „Tor“ ohnehin nicht gebraucht.
Aktuelle Erkenntnisse der Arctic Wolf Labs über HavanaCrypt-Ransomware:
- Tarnt sich als Google-Software-Update-Anwendung.
- Verwendet Microsoft-Webhosting als Command-and-Control-Server, um die „Detection“ zu umgehen.
- Nutzt die „QueueUserWorkItem“-Funktion, eine Methode des „.NET System.Threading Namespace“. Außerdem verwendet die Ransomware die Module von „KeePass Password Safe“, einem Open-Source-Passwortmanager, während der Dateiverschlüsselung.
- Ist eine „.NET“-kompilierte Anwendung und wird durch „Obfuscar“ geschützt, einen „Open-Source-.NET-Obfuscator“, der den Code in einer „.NET-Assembly“ schützt.
- Verfügt über mehrere Anti-Virtualisierungstechniken, um eine dynamische Analyse zu vermeiden, wenn sie in einer virtuellen Maschine ausgeführt wird.
- Nachdem „HavanaCrypt“ sich vergewissert hat, dass der Computer des Opfers nicht in einer virtuellen Maschine ausgeführt wird, lädt sie eine Datei mit dem Namen „2.txt“ von 20[.]227[.]128[.]33, einer IP-Adresse eines Microsoft-Webhosting-Dienstes, herunter und speichert sie als Batch-Datei (.bat) mit einem Dateinamen, der 20 bis 25 zufällige Zeichen enthält.
- Verwendet während seiner Verschlüsselungsroutine Module von „KeePass Password Safe“. Insbesondere nutzt sie die Funktion „CryptoRandom“, um Zufallsschlüssel zu erzeugen, die für die Verschlüsselung benötigt werden.
- Verschlüsselt Dateien und fügt „.Havana“ als Dateinamenerweiterung hinzu.
Weitere Informationen zum Thema:
ARCTIC WOLF, 10.05.2022
Arctic Wolf Launches Arctic Wolf Labs to Advance Security Operations Research and Intelligence Reporting
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren