El gobierno de los EE UU Ofrece una recompensa de

Hive, una de las herramientas de ransomware más destructivas (se abre en una pestaña nueva) como servicio, se sometió a una revisión importante, haciéndola más resistente a los programas antivirus (se abre en una pestaña nueva) y a otras soluciones de seguridad.

Estas son las conclusiones de un equipo de investigadores del Microsoft Threat Intelligence Center (MSTIC), que recientemente llevó a cabo un análisis en profundidad de una nueva variante de Hive.

“Hive ransomware tiene solo alrededor de un año, ya que se observó por primera vez en junio de 2021, pero se ha convertido en una de las cargas útiles de ransomware más frecuentes en el ecosistema de ransomware como servicio (RaaS)”, dijo Microsoft en su informe. .

Impacto de largo alcance

El mayor cambio es la migración completa del código de Go (también conocido como GoLang) a Rust. El impacto de estas actualizaciones es «de gran alcance», según Microsoft.

Entre otras cosas, Rust ofrece un control profundo sobre los recursos de bajo nivel, tiene una sintaxis fácil de usar, varios mecanismos de concurrencia y paralelismo, una buena variedad de bibliotecas criptográficas y es relativamente más difícil aplicar ingeniería inversa.

La nueva variante también usa encriptación de cadenas, lo que hace que sea un poco más difícil de detectar, y los algoritmos subyacentes también han cambiado. La versión Rust de Hive usa Elliptic Curve Diffie-Hellmann (ECDH), con Curve25519 y XChaCha20-Poly1305 (cifrado autenticado con cifrado simétrico ChaCha20).

En cuanto al cifrado de archivos, ahora genera dos conjuntos de claves en memoria (en lugar de incrustar una clave cifrada en cada archivo cifrado) y usa ambos para cifrar archivos en el punto final de destino (se abre en una nueva pestaña). Cifra y luego escribe los conjuntos en la raíz de la unidad cifrada, ambos con extensiones .key.

Para colmo, los operadores cambiaron el mensaje de rescate que sigue al ataque. La nueva versión ahora hace referencia a los archivos .key con su nueva convención de nombres de archivo y advierte a las víctimas que no eliminen ni reinstalen las máquinas virtuales, ya que no habrá «nada que descifrar».

Hive no es el primer ransomware en migrar a Rust, pero podría ser el primero en señalar una tendencia. Antes de Hive, fue BlackCat, otro ransomware exitoso, el que dio el salto.

Share