I ricercatori di Trend Micro hanno identificato una nuova famiglia di ransomware che si traveste da applicazione di aggiornamento software di Google e utilizza un indirizzo IP del servizio di hosting Web Microsoft come server di comando e controllo (C&C) per aggirare il rilevamento.
Soprannominato HavanaCrypt, questo ransomware utilizza QueueUserWorkItem, una funzione del metodo dello spazio dei nomi che accoda un metodo per l’esecuzione, e i moduli di KeePass Password Safe, un gestore di password open source, durante la sua routine di crittografia dei file.
Questo malware implementa anche diverse tecniche di antivirtualizzazione, controllando processi, file e servizi relativi alle applicazioni delle macchine virtuali, che lo agevolano a evitare l’analisi dinamica quando viene eseguito in una macchina virtuale.
HavanaCrypt viene distribuito come una falsa applicazione di aggiornamento software di Google. Compilato in .NET e protetto da Obfuscar, un offuscatore .NET open source, al momento dell’esecuzione il malware nasconde la sua finestra utilizzando la funzione ShowWindow con parametro 0 (SW_HIDE). HavanaCrypt controlla quindi il registro di AutoRun per verificare se è presente il registro “GoogleUpdate”. Se il registro non è presente, il malware continua con la sua routine dannosa dove termina se il sistema viene rilevato in esecuzione in un ambiente di macchina virtuale.
Per verificare se la macchina infetta è in esecuzione in un ambiente virtualizzato HavanaCrypt ha quattro fasi: controlla i servizi utilizzati dalle macchine virtuali come VMWare Tools e vmmouse, i soliti file correlati alle applicazioni della macchina virtuale, i nomi dei file utilizzati per i loro eseguibili e infine l’indirizzo MAC della macchina e lo confronta con i prefissi dell’identificatore univoco dell’organizzazione (OUI) generalmente utilizzati dalle macchine virtuali.
Dopo aver verificato che la macchina della vittima non sia in esecuzione in una macchina virtuale, HavanaCrypt scarica un file denominato “2.txt” da 20[.]227[.]128[.]33, un indirizzo IP del servizio di hosting Web Microsoft, e lo salva come file batch (.bat) con un nome file contenente da 20 a 25 caratteri casuali.
Quindi procede all’esecuzione del file batch che contiene i comandi utilizzati per configurare le preferenze di scansione di Windows Defender per consentire qualsiasi minaccia rilevata nelle directory “%Windows%” e “%User%” e interrompe anche alcuni processi che si trovano in esecuzione nella macchina, come Microsoft SQL Server e MySQL. Anche le app desktop come Microsoft Office e Steam vengono terminate.
Dopo aver terminato tutti i processi rilevanti, HavanaCrypt interroga tutte le unità disco disponibili e procede all’eliminazione delle copie shadow e al ridimensionamento della quantità massima di spazio di archiviazione a 401 MB e verifica anche la presenza di istanze di ripristino del sistema tramite Strumentazione gestione Windows (WMI) e procede a eliminarle. Quindi rilascia copie di sé stesso sotto forma di file eseguibili (.exe) con nomi di file diversi contenenti da 10 a 15 caratteri casuali. I loro attributi vengono quindi impostati su “Nascosto” e “File di sistema”.
HavanaCrypt utilizza la funzione QueueUserWorkItem per implementare il pool di thread per i suoi altri payload e thread di crittografia.Utilizza anche l’attributo DebuggerStepThrough, che fa in modo che esegua il codice durante il debug invece di entrarvi, che deve essere poi rimosso prima di poter analizzare la funzione all’interno.
Prima di procedere con la sua routine di crittografia, HavanaCrypt raccoglie alcune informazioni e le invia al suo server C&C, 20[.]227[.]128[.]33/index.php, generando l’identificatore univoco (UID) che contiene l’impronta digitale del sistema della macchina. HavanaCrypt raccoglie informazioni sulla macchina e le combina, aggiungendole l’una all’altra, prima di convertire le informazioni nel suo hash SHA-256.
Le informazioni sulla macchina che HavanaCrypt raccoglie includono: core e ID del processore, nome del processore, socket, produttore e nome della scheda madre, versione del BIOS e numero del prodotto.
“Il ransomware HavanaCrypt ha lo scopo di indurre le potenziali vittime a eseguire il binario dannoso. È raro che un ransomware utilizzi un server C&C che fa parte dei servizi di hosting Web Microsoft ed è probabilmente utilizzato come servizio di hosting Web per evitare il rilevamento. A parte il suo insolito server C&C, HavanaCrypt utilizza anche i moduli legittimi di KeePass Password Safe durante la sua fase di crittografia. È altamente possibile che l’autore del ransomware stia pianificando di comunicare tramite il browser Tor, perché Tor è tra le directory in cui evita di crittografare i file. Va notato che HavanaCrypt crittografa anche il file di testo foo.txt e non rilascia un riscatto Nota. Questa potrebbe essere un’indicazione che HavanaCrypt è ancora nella sua fase di sviluppo. Tuttavia, è importante rilevarlo e bloccarlo prima che si evolva ulteriormente e faccia ancora più danni”, concludono gli esperti di Trend Micro.
