Hive, uno degli strumenti ransomware più distruttivi (si apre in una nuova scheda) come servizio, ha subito un'importante revisione, rendendolo più resistente ai programmi antivirus (si apre in una nuova scheda) e ad altre soluzioni di sicurezza.
Queste le conclusioni di un team di ricercatori del Microsoft Threat Intelligence Center (MSTIC), che di recente ha svolto un'analisi approfondita di una nuova variante di Hive.
"Hive ransomware ha solo circa un anno, come è stato osservato per la prima volta nel giugno 2021, ma è diventato uno dei payload di ransomware più diffusi nell'ecosistema ransomware-as-a-service (RaaS)", ha affermato Microsoft. rapporto. .
impatto a lungo raggio
El mayor cambio es la migración completa del código de Go (también conocido como GoLang) a Rust. El impacto de estas actualizaciones es "de gran alcance", según Microsoft.
Tra le altre cose, Rust offre un controllo approfondito sulle risorse di basso livello, ha una sintassi facile da usare, vari meccanismi di concorrenza e parallelismo, una buona varietà di librerie crittografiche ed è relativamente più difficile da decodificare.
La nuova variante utilizza anche la crittografia delle stringhe, che la rende leggermente più difficile da rilevare, e anche gli algoritmi sottostanti sono cambiati. La versione Rust di Hive utilizza Elliptic Curve Diffie-Hellmann (ECDH), con Curve25519 e XChaCha20-Poly1305 (cifratura autenticata con cifratura simmetrica ChaCha20).
Per la crittografia dei file, ora genera due set di chiavi in memoria (invece di incorporare una chiave crittografata in ogni file crittografato) e le utilizza entrambe per crittografare i file sull'endpoint di destinazione (si apre in una nuova scheda). Crittografa e quindi scrive gli array nella radice dell'unità crittografata, entrambi con estensione .key.
Para colmo, los operadores cambiaron el mensaje de rescate que sigue al ataque. La nueva versión ahora hace referencia a los archivos .key con su nueva convención de nombres de archivo y advierte a las víctimas que no eliminen ni reinstalen las máquinas virtuales, ya que no habrá "nada que descifrar".
Hive non è il primo ransomware a migrare su Rust, ma potrebbe essere il primo a segnalare una tendenza. Prima di Hive, è stato BlackCat, un altro ransomware di successo, a fare il salto di qualità.