Les chercheurs ont d\u00e9taill\u00e9 ce qu’ils appellent la “premi\u00e8re tentative r\u00e9ussie” de d\u00e9cryptage des donn\u00e9es infect\u00e9es par Ran\u00e7ongiciel Hive<\/b> sans d\u00e9pendre de la cl\u00e9 priv\u00e9e utilis\u00e9e pour verrouiller l’acc\u00e8s au contenu.<\/p>\n
“Nous avons pu r\u00e9cup\u00e9rer la cl\u00e9 principale pour g\u00e9n\u00e9rer la cl\u00e9 de chiffrement de fichier sans la cl\u00e9 priv\u00e9e de l’attaquant, en utilisant une vuln\u00e9rabilit\u00e9 cryptographique identifi\u00e9e par analyse”, a d\u00e9clar\u00e9 un groupe d’universitaires de l’Universit\u00e9 Kookmin de Cor\u00e9e du Sud. mentionn\u00e9<\/a> dans un nouvel article diss\u00e9quant son processus de cryptage.<\/p>\n Hive, comme d’autres groupes cybercriminels, exploite un ran\u00e7ongiciel en tant que service qui utilise diff\u00e9rents m\u00e9canismes pour compromettre les r\u00e9seaux d’entreprise, exfiltrer les donn\u00e9es et chiffrer les donn\u00e9es sur les r\u00e9seaux, et tente de collecter une ran\u00e7on en \u00e9change de l’acc\u00e8s au logiciel de d\u00e9cryptage.<\/p>\n Il a \u00e9t\u00e9 observ\u00e9 pour la premi\u00e8re fois en juin 2021, lorsqu’il a frapp\u00e9 une entreprise appel\u00e9e Altus Group. Hive exploite une vari\u00e9t\u00e9 de m\u00e9thodes de compromis initiales, y compris des serveurs RDP vuln\u00e9rables, des informations d’identification VPN compromises, ainsi que des e-mails de phishing avec des pi\u00e8ces jointes malveillantes.<\/p>\n Le groupe pratique \u00e9galement le sch\u00e9ma de plus en plus lucratif de double extorsion<\/a>dans lequel les acteurs vont au-del\u00e0 du simple cryptage en exfiltrant \u00e9galement les donn\u00e9es sensibles des victimes et en mena\u00e7ant de divulguer les informations sur leur site Tor, “Fuites de la ruche<\/b>.”<\/p>\n Au 16 octobre 2021, le programme Hive RaaS avait victimis\u00e9 au moins 355 entreprises, le groupe s\u00e9curisant le huiti\u00e8me place<\/a> parmi les 10 principales souches de ransomwares en termes de revenus en 2021, selon la soci\u00e9t\u00e9 d’analyse de blockchain Chainalysis.<\/p>\n Les activit\u00e9s malveillantes associ\u00e9es au groupe ont \u00e9galement incit\u00e9 le Federal Bureau of Investigation (FBI) des \u00c9tats-Unis \u00e0 publier un Derni\u00e8re nouvelles<\/a> d\u00e9taillant le mode op\u00e9ratoire des attaques, notant comment le ran\u00e7ongiciel met fin aux processus li\u00e9s aux sauvegardes, \u00e0 l’antivirus et \u00e0 la copie de fichiers pour faciliter le chiffrement.<\/p>\n La vuln\u00e9rabilit\u00e9 cryptographique identifi\u00e9e par les chercheurs concerne le m\u00e9canisme par lequel les cl\u00e9s principales sont g\u00e9n\u00e9r\u00e9es et stock\u00e9es, la souche de ransomware ne cryptant que certaines parties du fichier par opposition \u00e0 l’int\u00e9gralit\u00e9 du contenu \u00e0 l’aide de deux flux de cl\u00e9s<\/a> d\u00e9riv\u00e9 de la cl\u00e9 principale.<\/p>\n “Pour chaque processus de chiffrement de fichier, deux flux de cl\u00e9s de la cl\u00e9 principale sont n\u00e9cessaires”, ont expliqu\u00e9 les chercheurs. “Deux flux de cl\u00e9s sont cr\u00e9\u00e9s en s\u00e9lectionnant deux d\u00e9calages al\u00e9atoires \u00e0 partir de la cl\u00e9 principale et en extrayant respectivement 0x100000 octets (1MiB) et 0x400 octets (1KiB) du d\u00e9calage s\u00e9lectionn\u00e9.”<\/p>\n![\"Sauvegardes](\"https:\/\/thehackernews.com\/images\/-_qTKDwXdOnI\/YVHQqMJj85I\/AAAAAAAA4Z4\/RFYOUTwKxUY869ZyUVtFZRcIgVtUMHzAQCLcBGAsYHQ\/s300-e100\/rewind-1-300.png\")
<\/a><\/div>\n![\"Cl\u00e9](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645911153_347_Cle-principale-pour-Hive-Ransomware-recuperee-a-laide-dune-faille.jpeg\" "\\"Cl\u00e9")
<\/div>\n<\/a><\/div>\n