HavanaCrypt

Ransomware tarnt sich als Google-Update

Uhr
von Leslie Haeny und mla

Die Ransomware HavanaCrypt gibt sich als Google-Update aus. Das Schadprogramm hat weitere Tricks auf Lager, um nicht entdeckt zu werden. So nutzt es eine IP-Adresse eines Microsoft-Webhosting-Dienstes als Command-and-Control-Server.

(Source: Sam / Unsplash)
(Source: Sam / Unsplash)

Forschende des Cybersecurity-Unternehmens Trend Micro haben eine neue Ransomware-Familie entdeckt. Das als "HavanaCrypt" betitelte Schadprogramm tarnt sich als Google-Software-Update-Anwendung, um Opfer dazu zu verleiten, die bösartige Binärdatei auszuführen. Wie Trend Micro mitteilt, implementiert HavanaCrypt viele Antivirtualisierungstechniken, indem die Malware nach Prozessen, Dateien und Diensten im Zusammenhang mit Anwendungen auf virtuellen Maschinen sucht.

So nutzt das Schadprogramm etwa eine IP-Adresse eines Microsoft-Webhosting-Dienstes als Command-and-Control-Server (C&C), um nicht erkannt zu werden. Ein ungewöhnliches Vorgehen für eine Ransomware, wie Trend Micro kommentiert. Abgesehen vom C&C-Server verwende HavanaCrypt während der Verschlüsselungsphase auch die legitimen Module des Kennwortverwaltungs-Programms KeePass Password Safe.

Den verschlüsselten Dateien hängt HavanaCrypt ".Havana" als Dateinamenerweiterung an. "Es ist gut möglich, dass der Autor der Ransomware plant, über den Tor-Browser zu kommunizieren, da Tor zu den Verzeichnissen gehört, in denen er die Verschlüsselung von Dateien vermeidet", schreibt der Cybersecurity-Spezialist. Dass die Ransomware auch die Textdatei "foo.txt" verschlüsselt und keine Lösegeldforderung hinterlässt, sieht Trend Micro als Hinweis dafür, dass sich das Schadprogramm noch in der Entwicklungsphase befindet. Dennoch sei es wichtig, HavanaCrypt zu erkennen und zu blockieren.

Apropos Ransomware: Kürzlich entdeckten Sicherheitsforschende die Ransomware-Operation Lilith. Erste Unternehmen wurden bereits Opfer von Erpressung. Mehr dazu erfahren Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_262504