Ransomware tarnt sich als Google-Update

Hacker entwickeln eine neue gefährliche Ransomware. Entdeckt haben HavanaCrypt die Sicherheitsforscher von Trend Micro. Da die Schadsoftware sich als Software-Update von Google tarnt, sei sie für Anwender nur schwer zu erkennen.

So tarnt sich HavanaCrypt

Um sich möglichst lange unbemerkt im System des Opfers zu verstecken, nutzt HavanaCrypt verschiedene Taktiken. Zum Beispiel verwendet die Ransomware eine IP-Adresse eines Webhosting-Dienstes von Microsoft als Command-and-Control-Server, warnen die Sicherheitsexperten. Dieser würde von den meisten Unternehmen als vertrauenswürdig eingestuft und stünde damit auf der Whitelist.

Zudem verfüge die Schadsoftware über mehrere "Anti-Virtualisierungstechniken", mit denen sie ihren Code verschleiern könne. Dafür beendet sie sich selbst, sobald das System in einer Umgebung mit virtuellen Maschinen ausgeführt wird. Trend Micro gibt an, dies mit Tools wie "de4dot" und "DeObfuscar" getestet zu haben. Nachdem der Schadcode ausgeführt wurde, haben die Forscher beobachtet, dass HavanaCrypt die Funktion "ShowWindow" und den Parameter "0 (SW_HIDE)" nutzt, um das eigene Fenster auszublenden und sich somit vor dem User unsichtbar zu machen.

Einfache Detection bietet keinen Schutz

Wie bereits unzählige andere Ransomware-Varianten zuvor, hat auch HavanaCrypt das Ziel, Daten des Zielsystems zu sammeln und anschließend zu verschlüsseln. Allerdings gehen die Analysten von Trend Micro davon aus, dass sich HavanaCrypt noch in der Testphase befindet, da bisher keine konkreten Lösegeldforderungen bekannt sind. "Zum jetzigen Zeitpunkt haben wir noch keine tatsächlich erfolgte Infektion mit dieser Ransomware in unseren Telemetriedaten oder in externen Bedrohungsinformationen erfasst. Das erste Sample, das wir aus externen Quellen erhalten haben, weist darauf hin, dass sich die Ransomware noch in der Entwicklungsphase befindet", so Trend Micro gegenüber CSO. Dennoch sei es wichtig, die Ransomware erkennen und blockieren zu können, bevor sie sich weiterentwickle und noch mehr Schaden anrichten könne.

Sowohl Trend Micro wie auch Arctic Wolf empfehlen Unternehmen für einen besseren Schutz nicht nur auf eine Sicherheitslösung zu setzen. Daniel Thanos, Chef der Forschungseinheit bei Arctic Wolf, ergänzt: "Herkömmliche Detection- und Defense-Maßnahmen, die auf statischen Indikatoren und Signaturen beruhen oder bestimmte Adressräume, Anwendungen, Nutzer oder Prozesse als vertrauenswürdig einstufen, haben schon vor langer Zeit versagt. Stattdessen sollte die Cyberabwehr von Unternehmen auf der Erkennung von Verhaltensmustern basieren, die auf den tatsächlichen Taktiken, Techniken und Verfahren der Angreifer beruhen."