L’un des rançongiciels les plus destructeurs (s’ouvre dans un nouvel onglet)-Les outils en tant que service, Hive, ont fait l’objet d’une refonte majeure, les rendant plus résistants aux programmes antivirus (s’ouvre dans un nouvel onglet) et d’autres solutions de sécurité.
Telles sont les conclusions d’une équipe de chercheurs du Microsoft Threat Intelligence Center (MSTIC), qui a récemment effectué une analyse approfondie d’une nouvelle variante de Hive.
« Hive ransomware n’a qu’un an environ, ayant été observé pour la première fois en juin 2021, mais il est devenu l’une des charges utiles de ransomware les plus répandues dans l’écosystème ransomware-as-a-service (RaaS) », a déclaré Microsoft dans son rapport. .
Impact de grande envergure
Le plus grand changement est la migration complète du code de Go (également connu sous le nom de GoLang) vers Rust. L’impact de ces mises à jour est « de grande portée », selon Microsoft.
Entre autres choses, Rust offre un contrôle approfondi sur les ressources de bas niveau, possède une syntaxe conviviale, plusieurs mécanismes de concurrence et de parallélisme, une bonne variété de bibliothèques cryptographiques et est relativement plus difficile à désosser.
La nouvelle variante utilise également le cryptage de chaîne, ce qui la rend un peu plus difficile à détecter, et les algorithmes sous-jacents ont également changé. La version Rust de Hive utilise Elliptic Curve Diffie-Hellmann (ECDH), avec Curve25519 et XChaCha20-Poly1305 (cryptage authentifié avec chiffrement symétrique ChaCha20).
Quant au chiffrement des fichiers, il génère désormais deux ensembles de clés en mémoire (par opposition à l’intégration d’une clé chiffrée dans chaque fichier chiffré) et utilise les deux pour chiffrer les fichiers sur le terminal cible. (s’ouvre dans un nouvel onglet). Il crypte et écrit ensuite les ensembles à la racine du lecteur crypté, tous deux avec des extensions .key.
Pour couronner le tout, les opérateurs ont modifié le message de rançon qui fait suite à l’attaque. La nouvelle version fait désormais référence aux fichiers .key avec leur nouvelle convention de nom de fichier et avertit les victimes de ne pas supprimer ou réinstaller les machines virtuelles, car il n’y aura « rien à déchiffrer ».
Hive n’est pas le premier rançongiciel à migrer vers Rust, mais il pourrait être le premier à signaler une tendance. Avant Hive, c’était BlackCat, un autre rançongiciel à succès, qui avait fait le saut.