Der Seurity-Operations-Anbietr Arctic Wolf berichtet von einer neuen Ransomware-Familie, die es in sich hat und den Namen Havanacrypt trägt. Für die Verbreitung und Infektion nutzt Havanacrypt vertrauenswürdige Adressräume und Hosts, namentlich einen Hosting-Dienst von Microsoft. Im Moment, so Arctic Wolf, enthalten die identifizierten Havanacrypt-Varianten allerdings noch keine Lösegeldforderungen.
Der Sicherheitsspezialist schliesst daraus, dass sich die Malware noch in Entwicklung befindet –und dass Unternehmen sich auf kommende Angriffswellen vorbereiten können. Denn eine weitere Vermutung ist, dass der Autor der Ransomware via Tor-Browser kommunizieren wird: Das Tor-Verzeichnis wird durch Havanacrypt nicht verschlüsselt. Daniel Thanos, Vice President, Arctic Wolf Labs empfiehlt deshalb: "Für den Fall, dass Tor verwendet wird, sollte der Browser blockiert werden – in den meisten Unternehmen wird Tor ohnehin nicht gebraucht."
Ansonsten hat Artctic Wolf über die neue Ransomware eine ganze Reihe konkreter Erkenntnisse gewonnen. Der Schädling kommt als gefälschtes Google-Software-Update daher. Und zwar als .NET-kompilierte App, deren Code durch den .NET-Obfuscator Obfuscar in einer .NET Assembly vor Einblicken geschützt wird und somit für herkömmliche Detection-Systeme kaum erkennbar ist. Darüber hinaus verfügt Havanacrypt über diverse Anti-Virtualisierungstechniken, um die von manchen Security-Lösungen genutzte Analyse in einer virtualisierten Sandbox-Umgebung zu verhindern.
Als Control-and-Command-Server kommt das Webhosting von Microsoft zum Einsatz: Havanacrypt lädt eine Datei namens 2.txt von einer bestimmten IP-Adresse herunter, die zu einem Microsoft-Webhosting-Dienst gehört. Danach wird das File als .bat-Datei mit einem Zufallsnamen von 20 bis 25 Zeichen gespeichert. Für die Verschlüsselung der Daten auf dem Zielsystem nutzt die Malware Module von Keypass Password Safe und erzeugt damit Zufallsschlüssel. Die verschlüsselten Anwenderdateien erhalten sodann .Havana als Erweiterung des Filenamens.
(ubi)
