L'un des outils de ransomware les plus destructeurs (ouvre dans un nouvel onglet) en tant que service, Hive a subi une refonte majeure, le rendant plus résistant aux programmes antivirus (ouvre dans un nouvel onglet) et à d'autres solutions de sécurité.
Telles sont les conclusions d'une équipe de chercheurs du Microsoft Threat Intelligence Center (MSTIC), qui a récemment mené une analyse approfondie d'une nouvelle variante de Hive.
"Hive ransomware n'a qu'un an environ, ayant été observé pour la première fois en juin 2021, mais il est devenu l'une des charges utiles de ransomware les plus répandues dans l'écosystème ransomware-as-a-service (RaaS)", a déclaré Microsoft dans votre rapport. . .
impact à longue portée
Le plus gros changement est la migration complète du code de Go (alias GoLang) vers Rust. L'impact de ces mises à jour est « considérable », selon Microsoft.
Entre autres choses, Rust offre un contrôle approfondi sur les ressources de bas niveau, possède une syntaxe facile à utiliser, divers mécanismes de concurrence et de parallélisme, une bonne variété de bibliothèques cryptographiques et est relativement plus difficile à désosser.
La nouvelle variante utilise également le cryptage de chaîne, ce qui la rend un peu plus difficile à détecter, et les algorithmes sous-jacents ont également changé. La version Rust de Hive utilise Elliptic Curve Diffie-Hellmann (ECDH), avec Curve25519 et XChaCha20-Poly1305 (chiffrement authentifié avec chiffrement symétrique ChaCha20).
Pour le chiffrement de fichiers, il génère désormais deux ensembles de clés en mémoire (au lieu d'intégrer une clé chiffrée dans chaque fichier chiffré) et utilise les deux pour chiffrer les fichiers sur le point de terminaison de destination (s'ouvre dans un nouvel onglet). Il crypte puis écrit les ensembles à la racine du lecteur crypté, tous deux avec des extensions .key.
Pour aggraver les choses, les opérateurs ont modifié le message de rançon qui suit l'attaque. La nouvelle version fait désormais référence aux fichiers .key avec sa nouvelle convention de dénomination de fichiers et avertit les victimes de ne pas supprimer ou réinstaller les machines virtuelles car il n'y aura « rien à décrypter ».
Hive n'est pas le premier rançongiciel à migrer vers Rust, mais il pourrait être le premier à signaler une tendance. Avant Hive, c'est BlackCat, un autre rançongiciel à succès, qui a fait le saut.