Hive, uno degli strumenti ransomware più distruttivi (si apre in una nuova scheda) come servizio, ha subito un'importante revisione, rendendolo più resistente ai programmi antivirus (si apre in una nuova scheda) e ad altre soluzioni di sicurezza.
Queste le conclusioni di un team di ricercatori del Microsoft Threat Intelligence Center (MSTIC), che di recente ha svolto un'analisi approfondita di una nuova variante di Hive.
"Hive ransomware ha solo circa un anno, come è stato osservato per la prima volta nel giugno 2021, ma è diventato uno dei payload di ransomware più diffusi nell'ecosistema ransomware-as-a-service (RaaS)", ha affermato Microsoft. rapporto. .
impatto a lungo raggio
Il cambiamento più grande è la migrazione completa del codice da Go (aka GoLang) a Rust. L'impatto di questi aggiornamenti è "di vasta portata", secondo Microsoft.
Tra le altre cose, Rust offre un controllo approfondito sulle risorse di basso livello, ha una sintassi facile da usare, vari meccanismi di concorrenza e parallelismo, una buona varietà di librerie crittografiche ed è relativamente più difficile da decodificare.
La nuova variante utilizza anche la crittografia delle stringhe, che la rende leggermente più difficile da rilevare, e anche gli algoritmi sottostanti sono cambiati. La versione Rust di Hive utilizza Elliptic Curve Diffie-Hellmann (ECDH), con Curve25519 e XChaCha20-Poly1305 (cifratura autenticata con cifratura simmetrica ChaCha20).
Per la crittografia dei file, ora genera due set di chiavi in memoria (invece di incorporare una chiave crittografata in ogni file crittografato) e le utilizza entrambe per crittografare i file sull'endpoint di destinazione (si apre in una nuova scheda). Crittografa e quindi scrive gli array nella radice dell'unità crittografata, entrambi con estensione .key.
A peggiorare le cose, gli operatori hanno modificato la richiesta di riscatto che segue l’attacco. La nuova versione ora fa riferimento ai file .key con la nuova convenzione di denominazione dei file e avverte le vittime di non eliminare o reinstallare le macchine virtuali poiché non ci sarà "niente da decrittografare".
Hive non è il primo ransomware a migrare su Rust, ma potrebbe essere il primo a segnalare una tendenza. Prima di Hive, è stato BlackCat, un altro ransomware di successo, a fare il salto di qualità.