Один из самых разрушительных программ-вымогателей (откроется в новой вкладке)Инструмент как услуга, Hive, подвергся капитальному ремонту, что сделало его более устойчивым к антивирусным программам. (откроется в новой вкладке) и другие решения безопасности.
Таковы выводы группы исследователей Microsoft Threat Intelligence Center (MSTIC), которые недавно глубоко изучили новый вариант Hive.
«Программе-вымогателю Hive всего около года, впервые она была обнаружена в июне 2021 года, но она превратилась в одну из самых распространенных полезных нагрузок программ-вымогателей в экосистеме программ-вымогателей как услуги (RaaS)», — говорится в отчете Microsoft. .
Далеко идущее воздействие
Самым большим изменением является полная миграция кода с Go (также известного как GoLang) на Rust. По словам Microsoft, влияние этих обновлений «далеко идущее».
Среди прочего, Rust предлагает глубокий контроль над низкоуровневыми ресурсами, имеет удобный для пользователя синтаксис, имеет несколько механизмов для параллелизма и параллелизма, большое разнообразие криптографических библиотек и относительно сложнее реинжиниринг.
В новом варианте также используется строковое шифрование, что несколько усложняет его обнаружение, и базовые алгоритмы также изменились. Версия Hive для Rust использует Elliptic Curve Diffie-Hellmann (ECDH) с Curve25519 и XChaCha20-Poly1305 (аутентифицированное шифрование с симметричным шифром ChaCha20).
Что касается шифрования файлов, теперь он генерирует два набора ключей в памяти (в отличие от встраивания зашифрованного ключа в каждый зашифрованный файл) и использует оба для шифрования файлов на целевой конечной точке. (откроется в новой вкладке). Затем он шифрует и записывает наборы в корень зашифрованного диска, оба с расширениями .key.
В довершение всего операторы изменили сообщение о выкупе, которое следует за атакой. Новая версия теперь ссылается на файлы .key с их новым соглашением об именах файлов и предупреждает жертв не удалять и не переустанавливать виртуальные машины, поскольку «расшифровывать будет нечего».
Hive — не первая программа-вымогатель, мигрировавшая на Rust, но она может быть первой, указывающей на тенденцию. До Hive прыжок совершил BlackCat, еще одна успешная программа-вымогатель.
