Hoofdsleutel voor Hive Ransomware opgehaald met behulp van een fout in het versleutelingsalgoritme

Clave maestra del ransomware Hive Nachrichten

Onderzoekers hebben gedetailleerd beschreven wat zij de „eerste succesvolle poging“ noemen om gegevens te ontsleutelen die zijn geïnfecteerd met bijenkorf ransomware zonder afhankelijk te zijn van de privésleutel die wordt gebruikt om de toegang tot de inhoud te vergrendelen.

„We waren in staat om de hoofdsleutel te herstellen voor het genereren van de bestandscoderingssleutel zonder de privésleutel van de aanvaller, door een cryptografische kwetsbaarheid te gebruiken die door analyse is geïdentificeerd“, een groep academici van de Kookmin University in Zuid-Korea zei in een nieuwe paper die het encryptieproces ontleedt.

Hive exploiteert, net als andere groepen cybercriminelen, een ransomware-as-a-service die verschillende mechanismen gebruikt om bedrijfsnetwerken te compromitteren, gegevens te exfiltreren en gegevens op de netwerken te versleutelen, en probeert losgeld te verzamelen in ruil voor toegang tot de decoderingssoftware.

Het werd voor het eerst waargenomen in juni 2021, toen het een bedrijf genaamd Altus Group trof. Hive maakt gebruik van verschillende initiële compromismethoden, waaronder kwetsbare RDP-servers, gecompromitteerde VPN-referenties en phishing-e-mails met schadelijke bijlagen.

De groep beoefent ook het steeds lucratievere systeem van dubbele afpersingwaarbij de acteurs verder gaan dan alleen encryptie door ook gevoelige slachtoffergegevens te exfiltreren en te dreigen de informatie op hun Tor-site te lekken, „HiveLeaks.“

Hive Ransomware-hoofdsleutel

Vanaf 16 oktober 2021 heeft het Hive RaaS-programma ten minste 355 bedrijven het slachtoffer gemaakt, waarbij de groep de achtste plek volgens blockchain-analysebedrijf Chainalysis in de top 10 van ransomware-stammen naar omzet in 2021.

De kwaadaardige activiteiten die verband houden met de groep hebben ook het Amerikaanse Federal Bureau of Investigation (FBI) ertoe aangezet om een Flash-rapport waarin de modus operandi van de aanvallen wordt beschreven, waarbij wordt opgemerkt hoe de ransomware processen beëindigt die verband houden met back-ups, antivirus en het kopiëren van bestanden om de versleuteling te vergemakkelijken.

De cryptografische kwetsbaarheid die door de onderzoekers is geïdentificeerd, betreft het mechanisme waarmee de hoofdsleutels worden gegenereerd en opgeslagen, waarbij de ransomware-stam alleen geselecteerde delen van het bestand versleutelt in plaats van de volledige inhoud met behulp van twee keystreams afgeleid van de hoofdsleutel.

„Voor elk bestandscoderingsproces zijn twee keystreams van de hoofdsleutel nodig“, leggen de onderzoekers uit. „Twee keystreams worden gemaakt door twee willekeurige offsets van de hoofdsleutel te selecteren en respectievelijk 0x100000 bytes (1MiB) en 0x400 bytes (1KiB) uit de geselecteerde offset te extraheren.“

De coderingssleutelstroom, die is gemaakt op basis van een XOR-bewerking van de twee keystreams, wordt vervolgens XORed met de gegevens in alternatieve blokken om het versleutelde bestand te genereren. Maar deze techniek maakt het ook mogelijk om de keystreams te raden en de hoofdsleutel te herstellen, waardoor versleutelde bestanden kunnen worden gedecodeerd zonder de persoonlijke sleutel van de aanvaller.

De onderzoekers zeiden dat ze in staat waren om de fout te wapenen om een ​​methode te bedenken om op betrouwbare wijze meer dan 95% van de sleutels te herstellen die tijdens de codering werden gebruikt.

„De herstelde hoofdsleutel 92% slaagde erin ongeveer 72% van de bestanden te decoderen, de herstelde hoofdsleutel 96% slaagde erin ongeveer 82% van de bestanden te decoderen en de herstelde hoofdsleutel 98% slaagde erin ongeveer 98% van de bestanden te decoderen, ‚, aldus de onderzoekers.

David
Rate author
Hackarizona