HavanaCrypt Ransomware IOCs - Part 2

ransomware IOC

Cybereason GSOC обнаружено штамм программы-выкупа, получивший название HavanaCrypt. Впервые замеченный в июне 2022 года в дикой природе, HavanaCrypt маскируется под легитимное обновление Google Chrome, чтобы получить доступ к системе и зашифровать файлы.

  • HavanaCrypt продолжает недавнюю тенденцию, когда вредоносные программы пытаются маскироваться под легитимные инструменты или процессы (в данном случае под обновление для установки Google Chrome), чтобы убедить пользователей начать выполнение.
  • Для шифрования файлов HavanaCrypt использует функциональные возможности программы KeePass для работы с паролями с открытым исходным кодом.
  • HavanaCrypt использует методы защиты от анализа, включая обфускацию кода, разведку виртуальных машин и уничтожение процессов, чтобы гарантировать, что его нелегко обнаружить с помощью типичных мер безопасности и трудно перепрограммировать.
  • HavanaCrypt устанавливает связь C2 через эксплуатируемый адрес хостинга Microsoft.

HavanaCrypt Ransomware IOCs

Indicators of Compromise

IPv4

  • 20.227.128.33

URLs

  • http://20.227.128.33/index.php

MD5

  • 220c8e5c43ae9c9fecbb1b1af9e5abbd

SHA256

  • aa75211344aa7f86d7d0fad87868e36b33db1c46958b5aa8f26abefbad30ba17

User-Agents

  • Havana/0.1
SEC-1275-1
Добавить комментарий