Pesquisadores de segurança da Microsoft descobriram novas variantes do ransomware Hive de um ano que foi escrito na linguagem de programação Go, mas foi reescrito em Rust.
O Hive surgiu em junho de 2021 e foi destaque por o FBI em alerta dois meses depois. Em novembro, a gigante europeia de varejo de eletrônicos MediaMarkt também foi picado por Hive. É outra gangue de dupla extorsão de ransomware como serviço (RaaS) que recentemente tem como alvo servidores Microsoft Exchange vulneráveis, servidores RDP vulneráveis, credenciais VPN comprometidas e phishing para implantar seu ransomware e roubar informações dignas de vazamento.
A migração Rust do Hive está em andamento há alguns meses, pois adotou lições do BlackCat ransomware, que também é escrito em Rust. Via BleepingComputer, pesquisadores do Grupo-IB em março descobriu que o Hive havia convertido seu criptografador Linux (para direcionar servidores VMware ESXi) para Rust para dificultar a espionagem dos pesquisadores de segurança em suas negociações de resgate com as vítimas.
VEJA: Estas são as ameaças de segurança cibernética de amanhã nas quais você deve pensar hoje
A análise da Microsoft indica que a reescrita de Rust do Hive é muito mais abrangente, mas confirma a importância da mudança em seus métodos de criptografia observados em março.
“As atualizações na última variante [of Hive] são efetivamente uma revisão: as mudanças mais notáveis incluem uma migração completa do código para outra linguagem de programação e o uso de um método de criptografia mais complexo”, Microsoft Threat Intelligence Center (MSTIC) disse em um blogpost.
“O impacto dessas atualizações é de longo alcance, considerando que o Hive é uma carga útil RaaS que a Microsoft observou em ataques contra organizações nos setores de saúde e software por grandes afiliados de ransomware como DEV-0237.”
A Microsoft lista os principais benefícios do Rust sobre outras linguagens que o tornam uma das linguagens mais desejadas entre os programadores, como melhor segurança de memória e bom suporte a bibliotecas de criptografia.
Os benefícios para o Hive de migrar para o Rust, de acordo com a Microsoft, são:
- Oferece memória, tipo de dados e segurança de thread
- Tem profundo controle sobre recursos de baixo nível
- Tem uma sintaxe amigável
- Possui vários mecanismos de simultaneidade e paralelismo, permitindo assim uma criptografia de arquivos rápida e segura
- Possui uma boa variedade de bibliotecas criptográficas
- É relativamente mais difícil fazer engenharia reversa
A Microsoft descobriu que a nova nota de resgate difere daquela usada em variantes mais antigas. A nova nota instrui as vítimas: “Não exclua ou reinstale VMs. Não haverá nada para descriptografar” e “Não modifique, renomeie ou exclua arquivos *.key. Seus dados não poderão ser descriptografados”. Os arquivos *.key são os arquivos que o Hive criptografou.
A mudança mais interessante no Hive foi o novo mecanismo de criptografia, que aconteceu no final de fevereiro, alguns dias depois que pesquisadores da Universidade Kookmin, na Coreia do Sul, publicaram o artigo. “Um método para descriptografar dados infectados com Hive Ransomware”. Os pesquisadores recuperaram 95% da chave mestra sem a chave privada RSA do Hive e, em seguida, descriptografaram os dados.
O Hive também adotou uma abordagem exclusiva para criptografia de arquivos.
“Em vez de incorporar uma chave criptografada em cada arquivo criptografado, ele gera dois conjuntos de chaves na memória, usa-os para criptografar arquivos e, em seguida, criptografa e grava os conjuntos na raiz da unidade criptografada, ambos com extensão .key “, observa a Microsoft.
source – www.zdnet.com