Los operadores del esquema Hive ransomware-as-a-service (RaaS) han revisado su software de cifrado de archivos para migrar completamente a Rust y adoptar un método de cifrado más sofisticado.
«Con su última variante que incluye varias actualizaciones importantes, Hive también demuestra que es una de las familias de ransomware de más rápida evolución, lo que ejemplifica el ecosistema de ransomware en constante cambio», Microsoft Threat Intelligence Center (MSTIC) dijo en un informe el martes.
Hive, que se observó por primera vez en junio de 2021, se ha convertido en uno de los grupos RaaS más prolíficos, contabilidad por 17 ataques solo en el mes de mayo de 2022, junto a Black Basta y Conti.
El cambio de GoLang a Rust convierte a Hive en la segunda cepa de ransomware después de BlackCat que se escribe en el lenguaje de programación, lo que permite que el malware obtenga beneficios adicionales, como la seguridad de la memoria y un control más profundo sobre los recursos de bajo nivel, así como hacer uso de una amplia gama de librerías criptográficas.
Lo que también ofrece es la capacidad de hacer que el malware sea resistente a la ingeniería inversa, haciéndolo más evasivo. Además, viene con funciones para detener servicios y procesos asociados con soluciones de seguridad que pueden detenerlo en seco.
Hive no se diferencia de otras familias de ransomware en que elimina las copias de seguridad para evitar la recuperación, pero lo que ha cambiado significativamente en la nueva variante basada en Rust es su enfoque para el cifrado de archivos.
«En lugar de incrustar una clave cifrada en cada archivo que cifra, genera dos conjuntos de claves en la memoria, las usa para cifrar archivos y luego cifra y escribe los conjuntos en la raíz de la unidad que cifra, ambos con la extensión .key «, explicó MSTIC.
Para determinar cuál de las dos claves se usa para bloquear un archivo específico, se cambia el nombre de un archivo cifrado para incluir el nombre del archivo que contiene la clave, seguido de un guión bajo y una cadena codificada en Base64 (p. ej., «C:myphoto.jpg .l0Zn68cb _ -B82BhIaGhI8») que apunta a dos ubicaciones diferentes en el archivo .key correspondiente.
Los hallazgos se presentan como el actor de amenazas detrás del menos conocido. AstraLocker ransomware cesó sus operaciones y lanzó una herramienta de descifrado como parte de un cambio a cryptojacking, Bleeping Computer reportado esta semana.
Pero en una indicación de que el panorama de los ciberdelincuentes está en constante cambio, los investigadores de seguridad cibernética han descubierto un nuevo familia de ransomware llamado RedAlert (también conocido como N13V) que es capaz de apuntar a servidores VMWare ESXi de Windows y Linux.