Ransomware analysiert

So funktioniert HavanaCrypt

Die Ransomware HavanaCrypt tarnt sich als Softwareupdate, setzt auf Datenexfiltration und versucht mit allen Mitteln, Analyse-Tools zu überlisten. Das sollten Sie jetzt wissen.
Von 
CSO | 25. August 2022 09:03 Uhr
Manche Räuber erkennt man erst, wenn es schon zu spät ist.
Manche Räuber erkennt man erst, wenn es schon zu spät ist.
Foto: Karen Hogan - shutterstock.com

Ein neuer Ransomware-Stamm hat in den vergangenen zwei Monaten zahlreiche Opfer "befallen". Die Schadsoftware tarnt sich dabei als Software-Update für Google Chrome und nutzt eine quelloffene Passwort-Management-Bibliothek zur Verschlüsselung. Nun wurde die Ransomware namens "HavanaCrypt" von Forschern des Sicherheitsanbieters Cybereason analysiert. Das Ergebnis: Die Malware verfügt über Anti-Analyse-, Datenexfiltrations- und Privilege-Escalation-Mechanismen, scheint aber keine Lösegeldforderung im klassischen Sinne zu triggern.

HavanaCrypt - Deployment

Über den initialen Angriffsvektor hatten die Forscher dabei nur begrenzte Informationen: Das von ihnen analysierte Beispiel entstammte dem webbasierten Dateiscanning-Service VirusTotal, wo es wahrscheinlich von einem betroffenen Nutzer hochgeladen wurde.

Klar ist:

  • Die Metadaten des bösartigen Executables wurden so manipuliert, dass Google als Herausgeber und "Google Software Update" als Anwendungsname ausgegeben werden;

  • Wird die Datei ausgeführt, initiiert das einen Registrierungseintrag namens "GoogleUpdate";

Das legt den Verdacht nahe, dass es sich bei dem Köder, mit dem die Ransomware verbreitet wird, um ein gefälschtes Software-Update handelt.

HavanaCrypt ist in der Programmiersprache .NET geschrieben und verwendet den quelloffenen Binärcode-Obfuscator "Obfuscar", um Funktionsnamen und andere Details zu verschleiern und so Reverse-Engineering zu erschweren. Darüber hinaus haben die Malware-Autoren auch ihre eigenen Code-Funktionen verwendet, um Zeichenketten in der Binärdatei zu verstecken. Die Ransomware prüft zudem, ob Prozesse auf dem System laufen, die typischerweise mit Anwendungen für virtuelle Maschinen verbunden sind. Werden solche identifiziert, prüft HavanaCrypt die MAC-Adressen der Netzwerkkarte, um zu sehen, ob sie mit bekannten virtuellen Adaptern übereinstimmen. Dieser Vorgang soll Analyseprozesse blockieren, die verdächtige Binärdateiern in VMs aufspüren können. Darüber hinaus enthält die Malware auch einen Debugger, um der Analyse zu entgehen.

Das macht klar: Die Schöpfer von HavanaCrypt haben viel Aufwand betrieben, um statische und automatische Analysen ihrer Malware zu erschweren. Wenn eine dieser Prüfungen fehlschlägt, stoppt das Programm seine Ausführung.

Einmal auf dem System verankert, versucht die Ransomware eine lange Liste von Prozessen zu beenden, die möglicherweise auf dem System laufen und mit gängigen Anwendungen wie Word, E-Mail-Clients, Datenbankservern oder VMs verbunden sind. Das Ziel: die von diesen Programmen gesetzten Dateisystem-Sperren zu löschen, damit ihre Dateien verschlüsselt werden können. Die Ransomware löscht dabei auch sämtliche Wiederherstellungspunkte und Backups, um eine einfache Wiederherstellung von Dateien zu verhindern.

HavanaCrypt kopiert sich selbst in die Ordner "StartUp" und "ProgramData" und verwendet dabei einen zufällig generierten Namen der aus zehn Zeichen besteht. Die Datei wird anschließend als versteckte Systemdatei behandelt. Auch das soll eine einfache Detektion verhindern, da Windows Dateien mit diesen Eigenschaften standardmäßig nicht im Datei-Explorer anzeigt.

HavanaCrypt - Verschlüsselung

Die Ransomware sammelt dann Informationen über den infizierten Computer, die an einen Command-and-Control-Server gesendet werden. Dieser weist ein eindeutiges Identifikations-Token zu und generiert die Keys für die Verschlüsselung.

Für die Verschlüsselungsroutine selbst wird eine Bibliothek verwendet, die mit dem Open-Source-Passwortmanager KeePass verbunden ist. Die Verwendung einer bewährten Bibliothek ermöglicht den Malware-Autoren, größere Fehler so gut wie möglich zu vermeiden, um der Gegenseite zu erschweren, ein entsprechendes Entschlüsselungsprogramm zu entwickeln.

HavanaCrypt durchsucht alle Dateien, Verzeichnisse, Laufwerke und Festplatten, die auf dem System gefunden werden, und versieht alle verschlüsselten Dateien mit der Erweiterung ".Havana". Um das System weiterhin funktionsfähig zu halten, gibt es eine Ausschlussliste für Ordner und Dateierweiterungen. Interessanterweise ist der Tor-Browser-Ordner in dieser Ausschlussliste enthalten, obwohl die Ransomware keine traditionelle Lösegeldforderung zu hinterlassen scheint. Das deutet darauf hin, dass die Angreifer beabsichtigen, Tor für die Datenexfiltration oder C2-Kommunikation zu nutzen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Lucian Constantin arbeitet als Korrespondent für den IDG News Service.