HavanaCrypt: Neue Ransomware-Familie als Google-Update getarnt

Neue Ransomware schwer zu erkennen, warnt Daniel Thanos

[datensicherheit.de, 15.07.2022] „HavanaCrypt“ ist nach aktuellen Erkenntnissen der „Arctic Wolf Labs“ eine neue Ransomware. Diese sei schwer zu erkennen, denn sie tarne sich als Google-Update und nutze Microsoft-Funktionen im Rahmen der Attacken. Daniel Thanos, VP der „Arctic Wolf Labs“ bei Arctic Wolf®, geht in seiner Stellungnahme auf diese neue Malware ein und gibt Unternehmen Tipps zum richtigen Verhalten.

Ransomware-Angreifer missbrauchen bei Attacken häufig das Vertrauen der Nutzer

Thanos erläutert: „Angreifer missbrauchen bei ihren Attacken häufig das Vertrauen von Nutzern, um die Schutzmaßnahmen von Unternehmen zu umgehen. Die Verwendung von vertrauenswürdigen Adressräumen und Hosts, die von den meisten Unternehmen als seriös und sicher eingestuft werden und auf der ,Whitelist‘ stehen, ist also nicht neu.“
Cyber-Kriminelle nutzten zum Beispiel AWS-Hosting oder kaperten andere „saubere“ Hosts bzw. Adressräume. Doch es seien nicht nur vertrauenswürdige Adressen, welche für Ransomware-Angriffe missbraucht würden, sondern auch allgemein als vertrauenswürdig eingestufte, in vielen Unternehmen zum Einsatz kommende „Tools“ und Anwendungen.

Herkömmliche Detection- und Defense-Maßnahmen gegen Ransomware versagen

„Entsprechend haben herkömmliche Detection- und Defense-Maßnahmen, die auf statischen Indikatoren und Signaturen beruhen oder bestimmte Adressräume, Anwendungen, Nutzer oder Prozesse als vertrauenswürdig einstufen, schon vor langer Zeit versagt“, führt Thanos aus und rät: „Stattdessen sollte die Cyber-Abwehr von Unternehmen auf der Erkennung von Verhaltensmustern basieren, die auf den tatsächlichen TTPs (Tactics, Techniques, Procedures) der Angreifer beruhen.“
Man sollte sich indes nicht auf ein einziges „Sicherheitstool“ verlassen oder auf einen Ansatz, der bestimmte Systemelemente automatisch als „vertrauenswürdig“ oder „nicht vertrauenswürdig“ einstuft. Die Bedrohungsabwehr müsse genau auf die tatsächlichen Vorgehensweisen der Angreifer abgestimmt werden. Das erfordere kontinuierliche Forschung und Weiterentwicklung, da sich diese bei der Vielzahl möglicher Angriffe fast täglich änderten. „All das muss bei Sicherheitsmaßnahmen bedacht werden“, stellt Thanos klar.

Vermutlich möchte Autor der HavanaCrypt-Ransomware über Tor-Browser kommunizieren

„Es ist sehr wahrscheinlich, dass der Autor der ,HavanaCrypt‘-Ransomware plant, über den ,Tor‘-Browser zu kommunizieren, da ,Tor‘ zu den Verzeichnissen gehört, in denen er die Verschlüsselung von Dateien verhindert.“ Aktuell hinterlasse „HavanaCrypt“ keine Lösegeldforderung, was ein Hinweis darauf sein könnte, „dass sie sich noch in der Entwicklungsphase befindet“, vermutet Thanos.
Sein Tipp: „Wenn sie sich tatsächlich noch in der Beta-Phase befindet, sollten Unternehmen die Chance nutzen, sich darauf vorzubereiten.“ Für den Fall, dass „Tor“ verwendet wird, sollte der Browser blockiert werden – in den meisten Unternehmen werde „Tor“ ohnehin nicht gebraucht.

Aktuelle Erkenntnisse der Arctic Wolf Labs über HavanaCrypt-Ransomware:

1. Tarnt sich als Google-Software-Update-Anwendung.
2. Verwendet Microsoft-Webhosting als Command-and-Control-Server, um die „Detection“ zu umgehen.
3. Nutzt die „QueueUserWorkItem“-Funktion, eine Methode des „.NET System.Threading Namespace“. Außerdem verwendet die Ransomware die Module von „KeePass Password Safe“, einem Open-Source-Passwortmanager, während der Dateiverschlüsselung.
4. Ist eine „.NET“-kompilierte Anwendung und wird durch „Obfuscar“ geschützt, einen „Open-Source-.NET-Obfuscator“, der den Code in einer „.NET-Assembly“ schützt.
5. Verfügt über mehrere Anti-Virtualisierungstechniken, um eine dynamische Analyse zu vermeiden, wenn sie in einer virtuellen Maschine ausgeführt wird.
6. Nachdem „HavanaCrypt“ sich vergewissert hat, dass der Computer des Opfers nicht in einer virtuellen Maschine ausgeführt wird, lädt sie eine Datei mit dem Namen „2.txt“ von 20[.]227[.]128[.]33, einer IP-Adresse eines Microsoft-Webhosting-Dienstes, herunter und speichert sie als Batch-Datei (.bat) mit einem Dateinamen, der 20 bis 25 zufällige Zeichen enthält.
7. Verwendet während seiner Verschlüsselungsroutine Module von „KeePass Password Safe“. Insbesondere nutzt sie die Funktion „CryptoRandom“, um Zufallsschlüssel zu erzeugen, die für die Verschlüsselung benötigt werden.
8. Verschlüsselt Dateien und fügt „.Havana“ als Dateinamenerweiterung hinzu.

Weitere Informationen zum Thema:

ARCTIC WOLF, 10.05.2022
Arctic Wolf Launches Arctic Wolf Labs to Advance Security Operations Research and Intelligence Reporting