Ransomware HavanaCrypt possui recursos de exfiltração de dados e não mede esforços para evitar análises
Uma nova variedade de ransomware tem feito vítimas nos últimos dois meses, disfarçando-se como um aplicativo de atualização de software do Google e reutilizando uma biblioteca de gerenciamento de senhas de código aberto para criptografia. Apelidado de HavanaCrypt por pesquisadores da Cybereason, o novo programa de ransomware apresenta mecanismos de antianálise, exfiltração de dados e escalonamento de privilégios, mas não parece estar descartando uma nota de resgate tradicional.
Os pesquisadores não têm muitas informações sobre o vetor de acesso inicial porque a amostra que analisaram foi obtida do VirusTotal, um serviço de verificação de arquivos baseado na Web, onde provavelmente foi carregado por uma vítima. O que está claro é que os metadados do executável malicioso foram modificados para listar o editor como Google e o nome do aplicativo como Google Software Update e, após a execução, ele cria uma entrada de execução automática de registro chamada GoogleUpdate. Com base nessas informações, pode-se supor que a isca usada para distribuir o ransomware, seja por e-mail ou pela web, esteja centrada em uma atualização de software falsa.
HavanaCrypt é escrito na linguagem de programação .NET e usa um ofuscador de código binário de código aberto chamado Obfuscar para ocultar nomes de funções e outros detalhes, dificultando a engenharia reversa. Além disso, os autores também usaram suas próprias funções de código para ocultar strings no binário.
O malware também verifica se processos normalmente associados a aplicativos de máquina virtual estão presentes no sistema e, se algum for encontrado, ele verifica os endereços MAC da placa de rede para ver se eles correspondem a adaptadores virtuais conhecidos. Essas verificações destinam-se a bloquear análises que geralmente envolvem a execução de binários suspeitos dentro de máquinas virtuais (VMs). O programa também contém um mecanismo que tenta evitar a análise por meio de depuradores.
Está claro que os criadores do HavanaCrypt se esforçaram muito para tornar a análise estática e automatizada mais difícil. Se alguma dessas verificações falhar, o programa interromperá sua execução. Se as verificações forem aprovadas, o ransomware baixará um arquivo .txt de um endereço IP associado aos serviços de hospedagem na Web da Microsoft, que na verdade é um script para adicionar determinados diretórios à lista de exclusão de verificação do Windows Defender.
Em seguida, ele tenta eliminar uma longa lista de processos que podem estar em execução no sistema. Esses processos estão associados a aplicativos populares, incluindo Microsoft Word, clientes de e-mail, servidores de banco de dados, VMs e agentes de sincronização de dados. O objetivo é limpar os bloqueios do sistema de arquivos definidos por esses programas para que seus arquivos possam ser criptografados. O ransomware também exclui todos os pontos de restauração e cópias do Volume Shadow para evitar a fácil restauração dos arquivos.
HavanaCrypt copia a si mesmo nas pastas StartUp e ProgramData usando um nome de 10 caracteres gerado aleatoriamente. O arquivo é então definido como “Arquivo de sistema” e “Oculto” para evitar a descoberta fácil, pois, por padrão, o Windows não mostrará esses arquivos em seu explorador de arquivos.
O ransomware coleta informações sobre a máquina infectada que são enviadas para um servidor de comando e controle (C2), que atribui um token de identificação exclusivo a ela e gera as chaves exclusivas usadas para criptografia.
A própria rotina de criptografia é obtida usando uma biblioteca associada ao gerenciador de senhas KeePass de código aberto. Usar uma biblioteca bem testada em vez de implementar sua própria rotina de criptografia permite que os criadores do HavanaCrypt evitem cometer grandes erros que mais tarde poderiam levar os pesquisadores a criar um decodificador gratuito.
O malware irá percorrer todos os arquivos, diretórios, unidades e discos encontrados no sistema e anexar a extensão .Havana a todos os arquivos criptografados. No entanto, há uma lista de exclusão de pastas e extensões de arquivos para manter o sistema funcional.
Curiosamente, embora o ransomware não pareça lançar uma nota de resgate tradicional, a pasta Tor Browser está presente na lista de exclusão de criptografia, o que sugere que os invasores pretendem usar o Tor para exfiltração de dados ou comunicações C2.
