Hive bir hizmet olarak fidye yazılımı (RaaS) şemasının operatörleri, dosya şifreleme yazılımlarını tamamen Rust’a geçmek ve daha karmaşık bir şifreleme yöntemini benimsemek için elden geçirdi.
Microsoft Tehdit İstihbarat Merkezi (MSTIC) “Birkaç büyük yükseltmeyi taşıyan en son varyantı ile Hive, en hızlı gelişen fidye yazılımı ailelerinden biri olduğunu ve sürekli değişen fidye yazılımı ekosistemine örnek olduğunu kanıtlıyor.” söz konusu Salı günü bir raporda.
İlk olarak Haziran 2021’de gözlemlenen Hive, en üretken RaaS gruplarından biri olarak ortaya çıktı. muhasebe Black Basta ve Conti ile birlikte yalnızca Mayıs 2022’de 17 saldırı için.
GoLang’dan Rust’a geçiş, Hive’ı BlackCat’ten sonra programlama dilinde yazılan ikinci fidye yazılımı türü yapıyor ve kötü amaçlı yazılımın bellek güvenliği ve düşük seviyeli kaynaklar üzerinde daha derin kontrol gibi ek faydalar elde etmesini ve geniş bir yelpazeden faydalanmasını sağlıyor. kriptografik kütüphaneler.
Ayrıca sağladığı şey, kötü amaçlı yazılımı tersine mühendisliğe karşı dirençli hale getirerek daha kaçamak hale getirme yeteneğidir. Ayrıca, kendi yolunda durdurabilecek güvenlik çözümleriyle ilişkili hizmetleri ve süreçleri durduracak özelliklerle birlikte gelir.
Hive, kurtarmayı önlemek için yedekleri sildiği için diğer fidye yazılımı ailelerinden farklı değildir, ancak yeni Rust tabanlı varyantta önemli ölçüde değişen şey, dosya şifreleme yaklaşımıdır.
“Şifrelediği her dosyaya şifrelenmiş bir anahtar yerleştirmek yerine, bellekte iki anahtar kümesi oluşturur, bunları dosyaları şifrelemek için kullanır ve ardından kümeleri şifreler ve şifrelediği sürücünün köküne, her ikisi de .key uzantılı olarak yazar. ,” MSTIC açıkladı.
Belirli bir dosyayı kilitlemek için iki anahtardan hangisinin kullanıldığını belirlemek için, şifrelenmiş bir dosya, anahtarı içeren dosya adını ve ardından bir alt çizgi ve bir Base64 kodlu dize (ör. “C:myphoto.jpg) içerecek şekilde yeniden adlandırılır. .l0Zn68cb _ -B82BhIaGhI8”), karşılık gelen .key dosyasında iki farklı konuma işaret eder.
Bulgular, daha az bilinenlerin arkasındaki tehdit aktörü olarak geliyor. AstraLocker fidye yazılımı, kripto hırsızlığına geçişin bir parçası olarak operasyonları durdurdu ve bir şifre çözme aracı yayınladı, Bleeping Computer rapor edildi bu hafta.
Ancak siber suç ortamının sürekli bir değişim içinde olduğunun bir göstergesi olarak, siber güvenlik araştırmacıları keşfetti yeni fidye yazılımı ailesi hem Windows hem de Linux VMWare ESXi sunucularını hedefleyebilen RedAlert (aka N13V) olarak adlandırılır.