Aktuelles, Branche - geschrieben von dp am Freitag, Juli 15, 2022 13:34 - noch keine Kommentare
HavanaCrypt: Neue Ransomware-Familie als Google-Update getarnt
Neue Ransomware schwer zu erkennen, warnt Daniel Thanos
[datensicherheit.de, 15.07.2022] „HavanaCrypt“ ist nach aktuellen Erkenntnissen der „Arctic Wolf Labs“ eine neue Ransomware. Diese sei schwer zu erkennen, denn sie tarne sich als Google-Update und nutze Microsoft-Funktionen im Rahmen der Attacken. Daniel Thanos, VP der „Arctic Wolf Labs“ bei Arctic Wolf®, geht in seiner Stellungnahme auf diese neue Malware ein und gibt Unternehmen Tipps zum richtigen Verhalten.
Ransomware-Angreifer missbrauchen bei Attacken häufig das Vertrauen der Nutzer
Thanos erläutert: „Angreifer missbrauchen bei ihren Attacken häufig das Vertrauen von Nutzern, um die Schutzmaßnahmen von Unternehmen zu umgehen. Die Verwendung von vertrauenswürdigen Adressräumen und Hosts, die von den meisten Unternehmen als seriös und sicher eingestuft werden und auf der ,Whitelist‘ stehen, ist also nicht neu.“
Cyber-Kriminelle nutzten zum Beispiel AWS-Hosting oder kaperten andere „saubere“ Hosts bzw. Adressräume. Doch es seien nicht nur vertrauenswürdige Adressen, welche für Ransomware-Angriffe missbraucht würden, sondern auch allgemein als vertrauenswürdig eingestufte, in vielen Unternehmen zum Einsatz kommende „Tools“ und Anwendungen.
Herkömmliche Detection- und Defense-Maßnahmen gegen Ransomware versagen
„Entsprechend haben herkömmliche Detection- und Defense-Maßnahmen, die auf statischen Indikatoren und Signaturen beruhen oder bestimmte Adressräume, Anwendungen, Nutzer oder Prozesse als vertrauenswürdig einstufen, schon vor langer Zeit versagt“, führt Thanos aus und rät: „Stattdessen sollte die Cyber-Abwehr von Unternehmen auf der Erkennung von Verhaltensmustern basieren, die auf den tatsächlichen TTPs (Tactics, Techniques, Procedures) der Angreifer beruhen.“
Man sollte sich indes nicht auf ein einziges „Sicherheitstool“ verlassen oder auf einen Ansatz, der bestimmte Systemelemente automatisch als „vertrauenswürdig“ oder „nicht vertrauenswürdig“ einstuft. Die Bedrohungsabwehr müsse genau auf die tatsächlichen Vorgehensweisen der Angreifer abgestimmt werden. Das erfordere kontinuierliche Forschung und Weiterentwicklung, da sich diese bei der Vielzahl möglicher Angriffe fast täglich änderten. „All das muss bei Sicherheitsmaßnahmen bedacht werden“, stellt Thanos klar.
Vermutlich möchte Autor der HavanaCrypt-Ransomware über Tor-Browser kommunizieren
„Es ist sehr wahrscheinlich, dass der Autor der ,HavanaCrypt‘-Ransomware plant, über den ,Tor‘-Browser zu kommunizieren, da ,Tor‘ zu den Verzeichnissen gehört, in denen er die Verschlüsselung von Dateien verhindert.“ Aktuell hinterlasse „HavanaCrypt“ keine Lösegeldforderung, was ein Hinweis darauf sein könnte, „dass sie sich noch in der Entwicklungsphase befindet“, vermutet Thanos.
Sein Tipp: „Wenn sie sich tatsächlich noch in der Beta-Phase befindet, sollten Unternehmen die Chance nutzen, sich darauf vorzubereiten.“ Für den Fall, dass „Tor“ verwendet wird, sollte der Browser blockiert werden – in den meisten Unternehmen werde „Tor“ ohnehin nicht gebraucht.
Aktuelle Erkenntnisse der Arctic Wolf Labs über HavanaCrypt-Ransomware:
- Tarnt sich als Google-Software-Update-Anwendung.
- Verwendet Microsoft-Webhosting als Command-and-Control-Server, um die „Detection“ zu umgehen.
- Nutzt die „QueueUserWorkItem“-Funktion, eine Methode des „.NET System.Threading Namespace“. Außerdem verwendet die Ransomware die Module von „KeePass Password Safe“, einem Open-Source-Passwortmanager, während der Dateiverschlüsselung.
- Ist eine „.NET“-kompilierte Anwendung und wird durch „Obfuscar“ geschützt, einen „Open-Source-.NET-Obfuscator“, der den Code in einer „.NET-Assembly“ schützt.
- Verfügt über mehrere Anti-Virtualisierungstechniken, um eine dynamische Analyse zu vermeiden, wenn sie in einer virtuellen Maschine ausgeführt wird.
- Nachdem „HavanaCrypt“ sich vergewissert hat, dass der Computer des Opfers nicht in einer virtuellen Maschine ausgeführt wird, lädt sie eine Datei mit dem Namen „2.txt“ von 20[.]227[.]128[.]33, einer IP-Adresse eines Microsoft-Webhosting-Dienstes, herunter und speichert sie als Batch-Datei (.bat) mit einem Dateinamen, der 20 bis 25 zufällige Zeichen enthält.
- Verwendet während seiner Verschlüsselungsroutine Module von „KeePass Password Safe“. Insbesondere nutzt sie die Funktion „CryptoRandom“, um Zufallsschlüssel zu erzeugen, die für die Verschlüsselung benötigt werden.
- Verschlüsselt Dateien und fügt „.Havana“ als Dateinamenerweiterung hinzu.
Weitere Informationen zum Thema:
ARCTIC WOLF, 10.05.2022
Arctic Wolf Launches Arctic Wolf Labs to Advance Security Operations Research and Intelligence Reporting
Aktuelles, Experten, Studien - Nov 14, 2024 19:29 - noch keine Kommentare
Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
weitere Beiträge in Experten
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
Aktuelles, Branche, Studien - Nov 14, 2024 19:20 - noch keine Kommentare
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
weitere Beiträge in Branche
- Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe
- Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen
- Ymir: Kaspersky warnt vor neuentdeckter Ransomware
- Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
- JFrog-Analyse zur Gefährdung Maschinellen Lernens: Kritische Schwachstellen in ML-Frameworks entdeckt
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren