El nuevo ransomware HavanaCrypt se hace pasar por una actualización de software de Google

El ransomware HavanaCrypt tiene capacidades de exfiltración de datos y hace todo lo posible para evitar el análisis.

CryptoJoker, un nuevo ramsonware que por el momento es indescifrable

Una nueva variedad de ransomware ha estado causando víctimas durante los últimos dos meses, haciéndose pasar por una aplicación de actualización de software de Google y reutilizando una biblioteca de gestión de contraseñas de código abierto para el cifrado. Apodado HavanaCrypt por investigadores de Cybereason , el nuevo programa de ransomware presenta mecanismos de antianálisis, exfiltración de datos y escalada de privilegios, pero no parece estar lanzando una nota de rescate tradicional.

Implementación de HavanaCrypt

Los investigadores no tienen mucha información sobre el vector de acceso inicial porque la muestra que analizaron se obtuvo de VirusTotal, un servicio de escaneo de archivos basado en la web, donde probablemente fue cargada por una víctima. Lo que está claro es que los metadatos del ejecutable malicioso se modificaron para enumerar el editor como Google y el nombre de la aplicación como Actualización de software de Google y, al ejecutarse, crea una entrada de ejecución automática en el registro llamada GoogleUpdate. Según esta información, se podría suponer que el señuelo utilizado para distribuir el ransomware, ya sea por correo electrónico o por Internet, se centra en una actualización de software falsa.

HavanaCrypt está escrito en el lenguaje de programación .NET y utiliza un ofuscador de código binario de código abierto llamado Obfuscar para ocultar nombres de funciones y otros detalles, lo que dificulta la ingeniería inversa. Además, los autores también usaron sus propias funciones de código para ocultar cadenas en el binario.

El malware también verifica si los procesos típicamente asociados con aplicaciones de máquinas virtuales están presentes en el sistema y, si encuentra alguno, verifica las direcciones MAC de la tarjeta de red para ver si coinciden con los adaptadores virtuales conocidos. Estas comprobaciones están destinadas a bloquear el análisis que a menudo implica la ejecución de archivos binarios sospechosos dentro de máquinas virtuales (VM). El programa también contiene un mecanismo que intenta evadir el análisis a través de depuradores.

Está claro que los creadores de HavanaCrypt pusieron mucho esfuerzo en hacer más difícil el análisis estático y automatizado. Si alguna de estas comprobaciones falla, el programa detendrá su ejecución. Si se aprueban las comprobaciones, el ransomware descargará un archivo .txt desde una dirección IP asociada con los servicios de alojamiento web de Microsoft que en realidad es un script para agregar ciertos directorios a la lista de exclusión de análisis de Windows Defender.

Luego intenta eliminar una larga lista de procesos que podrían estar ejecutándose en el sistema. Estos procesos están asociados con aplicaciones populares, como Microsoft Word, clientes de correo electrónico, servidores de bases de datos, máquinas virtuales y agentes de sincronización de datos. El objetivo es borrar los bloqueos del sistema de archivos establecidos por estos programas para que sus archivos puedan cifrarse. El ransomware también elimina todos los puntos de restauración y las instantáneas de volumen para evitar la fácil restauración de archivos.

HavanaCrypt se copia a sí mismo en las carpetas StartUp y ProgramData usando un nombre de 10 caracteres generado aleatoriamente. Luego, el archivo se establece como “Archivo del sistema” y “Oculto” para evitar que se descubra fácilmente, ya que, de forma predeterminada, Windows no mostrará estos archivos en su explorador de archivos.

Cifrado HavanaCrypt

Luego, el ransomware recopila información sobre la máquina infectada que luego se envía a un servidor de comando y control (C2), que le asigna un token de identificación único y genera las claves únicas utilizadas para el cifrado.

La rutina de cifrado en sí se logra mediante el uso de una biblioteca asociada con el administrador de contraseñas KeePass de código abierto. El uso de una biblioteca bien probada en lugar de implementar su propia rutina de cifrado permite a los creadores de HavanaCrypt evitar cometer vulnerabilidades importantes que luego podrían llevar a los investigadores a crear un descifrador gratuito.

El malware recorrerá todos los archivos, directorios, unidades y discos que se encuentren en el sistema y agregará la extensión .Havana a todos los archivos cifrados. Sin embargo, hay una lista de exclusión de carpetas y extensiones de archivos para mantener el sistema funcional.

Curiosamente, aunque el ransomware no parece dejar caer una nota de rescate tradicional, la carpeta Tor Browser está presente en la lista de exclusión de cifrado, lo que sugiere que los atacantes tienen la intención de usar Tor para la filtración de datos o comunicaciones C2.