Araştırmacılar, virüs bulaşmış verilerin şifresini çözmede “ilk başarılı girişim” olarak adlandırdıkları şeyi ayrıntılı olarak açıkladılar. Hive fidye yazılımı içeriğe erişimi kilitlemek için kullanılan özel anahtara güvenmeden.
Güney Kore’deki Kookmin Üniversitesi’nden bir grup akademisyen, “Analiz yoluyla belirlenen bir kriptografik güvenlik açığını kullanarak, saldırganın özel anahtarı olmadan dosya şifreleme anahtarını oluşturmak için ana anahtarı kurtarabildik” dedi. dedim şifreleme sürecini analiz eden yeni bir makalede.
Hive, diğer siber suçlu grupları gibi, iş ağlarını tehlikeye atmak, verileri sızdırmak ve ağlardaki verileri şifrelemek için farklı mekanizmalar kullanan ve şifre çözme yazılımına erişim karşılığında fidye toplamaya çalışan bir hizmet olarak fidye yazılımı işletir.
İlk olarak Haziran 2021’de Altus Group adlı bir şirketi vurduğunda gözlemlendi. Hive, güvenlik açığı bulunan RDP sunucuları, güvenliği ihlal edilmiş VPN kimlik bilgilerinin yanı sıra kötü amaçlı ekleri olan kimlik avı e-postaları dahil olmak üzere çeşitli ilk güvenlik açığı yöntemlerinden yararlanır.
Grup aynı zamanda giderek daha kazançlı hale gelen şu planı da uyguluyor: çifte gaspaktörlerin hassas kurban verilerini sızdırarak ve Tor sitelerindeki bilgileri sızdırmakla tehdit ederek sadece şifrelemenin ötesine geçtiği, “HiveLeaks“
16 Ekim 2021 itibariyle, Hive RaaS programı en az 355 şirketi mağdur etti ve grup, sekizinci nokta Blockchain analitik şirketi Chainalysis’e göre, 2021’de gelir bazında en iyi 10 fidye yazılımı türü arasında yer alıyor.
Grupla bağlantılı kötü niyetli faaliyetler, ABD Federal Soruşturma Bürosu’nun (FBI) bir açıklama yayınlamasına da neden oldu. Flaş raporu saldırıların işleyiş biçimini detaylandırmak, fidye yazılımının yedekleme, anti-virüs ve şifrelemeyi kolaylaştırmak için dosya kopyalama ile ilgili süreçleri nasıl sonlandırdığına dikkat çekmek.
Araştırmacılar tarafından belirlenen kriptografik güvenlik açığı, ana anahtarların oluşturulduğu ve saklandığı mekanizma ile ilgilidir; fidye yazılımı türü, iki anahtar kullanarak tüm içeriğin aksine dosyanın yalnızca belirli bölümlerini şifreler. anahtar akışları ana anahtardan türetilmiştir.
Araştırmacılar, “Her dosya şifreleme işlemi için ana anahtardan iki anahtar akışına ihtiyaç var” dedi. “Ana anahtardan iki rastgele ofset seçilerek ve seçilen ofsetten sırasıyla 0x100000 bayt (1MiB) ve 0x400 bayt (1KiB) ayıklanarak iki anahtar akışı oluşturulur.”
Bir XOR işlemi iki anahtar akışından biri, daha sonra şifreli dosyayı oluşturmak için alternatif bloklardaki verilerle XOR’lanır. Ancak bu teknik aynı zamanda anahtar akışlarını tahmin etmeyi ve ana anahtarı geri yüklemeyi mümkün kılar ve sırayla şifrelenmiş dosyaların şifresinin saldırganın özel anahtarının çözülmesini sağlar.
Araştırmacılar, şifreleme sırasında kullanılan anahtarların %95’inden fazlasını güvenilir bir şekilde kurtarmak için bir yöntem tasarlamak için kusuru silah haline getirebildiklerini söylediler.
“Kurtarılan ana anahtar %92 dosyaların yaklaşık %72’sinin şifresini çözmeyi başardı, geri yüklenen ana anahtar %96 dosyaların yaklaşık %82’sinin şifresini çözmeyi başardı ve geri yüklenen ana anahtar %98 dosyaların yaklaşık %98’inin şifresini çözmeyi başardı, ” dedi araştırmacılar.
