Sikkerhedsforskere rapporterer opdagelsen af en ny ransomware, som viser ligheder med Hive. Sidstnævnte er blevet betragtet som en af de mest fremtrædende ransomware-familier af 2021, med succes bryde mere end 300 organisationer på kun fire måneder, Trend Micros rapport påpegede. I marts, forskerne opdagede beviser for en anden, relativt ukendt ransomware, kendt som Nokoyawa.
Det ser ud til, at Nokoyawa og Hive er beslægtede, deler nogle slående ligheder i deres angrebskæde, herunder de værktøjer, de bruger til at udføre infektionstrinnene. Trend Micro sagde, at de fleste målrettede organisationer er placeret i Sydamerika, mest i Argentina.
Hive og Nokoyawa Ransomware-familier: lighederne
En af de mest slående ligheder er udnyttelsen af Cobalt Strike-udnyttelsen, som bruges til "ankomst"-delen på det målrettede system. Andre værktøjer, som begge ransomware ser ud til at bruge, inkluderer anti-rootkit-scannerne GMER og PC Hunter for evasion. Begge malware-stykker udfører også informationsindsamling og lateral implementering på lignende måde.
Andre værktøjer i Hive ransomwares udstyr inkluderer NirSoft og MalXMR miner, bruges til at forbedre angrebskapaciteter i henhold til målets miljø. Trend Micros analyse afslørede, at Nokoyawa bruger de samme tricks mod sine ofre. "Vi har observeret, at ransomware udnytter andre værktøjer som f.eks. Mimikatz, Z0Miner, og Boxter. Vi fandt også beviser baseret på en af de IP-adresser, som Nokoyawa brugte, at de to ransomware-familier deler den samme infrastruktur,”Tilføjede forskerne.
Med hensyn til hvordan Nokoyawa leveres på systemet, der har endnu ikke været sikre beviser. Men i betragtning af alle de ligheder, den deler med Hive, ransomware-operatørerne er højst sandsynligt afhængige af phishing-e-mails for at blive infiltreret i systemet.
Det er bemærkelsesværdigt, at Cobalt Strike post-udnyttelsesværktøj har været ret populært blandt ransomware-grupper. Men, ved at analysere det større billede, det ser bestemt ud til, at de to ransomware-familier er beslægtede. De oplysninger, der er indsamlet indtil videre, tyder bestemt på, at Hives operatører nu bruger en anden familie, Nokoyawa.
Der er stadig ingen beviser for, at den nye ransomware-familie bruger den dobbelte afpresningsteknik, i modsætning til Hive, som har brugt det i sine angreb, rapporten påpegede.
Hive Ransomwares kryptering blev dechifreret for nylig
Det er bemærkelsesværdigt, at Hives kryptering blev besejret for nylig, da sikkerhedsforskere fandt en måde at dechifrere dens krypteringsalgoritme uden at bruge hovednøglen. En gruppe akademikere fra Sydkoreas Kookmin University har delt deres nysgerrige resultater i en detaljeret rapport med titlen "En metode til at dekryptere data inficeret med Hive Ransomware". Tilsyneladende, forskerne var i stand til at "gendanne hovednøglen til generering af filkrypteringsnøglen uden angriberens private nøgle, ved at bruge en kryptografisk sårbarhed identificeret gennem analyse."
Hive bruger en hybrid kryptering og sin egen symmetriske kryptering til at kryptere ofrets filer. Forskerne var i stand til at gendanne hovednøglen, der genererer filkrypteringsnøglen uden den private nøgle ejet af angriberne. Dette var muligt på grund af en kryptografisk fejl, de opdagede under analysen. Som et resultat af deres erfaring, krypterede filer blev dekrypteret med den gendannede hovednøgle, hedder det i rapporten.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: