Cybereason GSOC обнаружено штамм программы-выкупа, получивший название HavanaCrypt. Впервые замеченный в июне 2022 года в дикой природе, HavanaCrypt маскируется под легитимное обновление Google Chrome, чтобы получить доступ к системе и зашифровать файлы.
- HavanaCrypt продолжает недавнюю тенденцию, когда вредоносные программы пытаются маскироваться под легитимные инструменты или процессы (в данном случае под обновление для установки Google Chrome), чтобы убедить пользователей начать выполнение.
- Для шифрования файлов HavanaCrypt использует функциональные возможности программы KeePass для работы с паролями с открытым исходным кодом.
- HavanaCrypt использует методы защиты от анализа, включая обфускацию кода, разведку виртуальных машин и уничтожение процессов, чтобы гарантировать, что его нелегко обнаружить с помощью типичных мер безопасности и трудно перепрограммировать.
- HavanaCrypt устанавливает связь C2 через эксплуатируемый адрес хостинга Microsoft.
HavanaCrypt Ransomware IOCs
Indicators of Compromise
IPv4
- 20.227.128.33
URLs
- http://20.227.128.33/index.php
MD5
- 220c8e5c43ae9c9fecbb1b1af9e5abbd
SHA256
- aa75211344aa7f86d7d0fad87868e36b33db1c46958b5aa8f26abefbad30ba17
User-Agents
- Havana/0.1