Zuhause > Cyber ​​Aktuelles > Neue Nokoyawa-Ransomware ersetzt Hive
CYBER NEWS

Neue Nokoyawa-Ransomware soll Hive ersetzen

Nokoyawa Ransomware ersetzt Hive

Sicherheitsforscher melden die Entdeckung einer neuen Ransomware, die Ähnlichkeiten zu Hive aufweist. Letztere gilt als eine der bekanntesten Ransomware-Familien von 2021, erfolgreich mehr als verletzen 300 Organisationen in nur vier Monaten, Der Bericht von Trend Micro wies darauf hin. März, Die Forscher entdeckten Hinweise auf einen anderen, relativ unbekannte Ransomware, bekannt als Nokoyawa.

Es scheint, dass Nokoyawa und Hive verwandt sind, einige bemerkenswerte Ähnlichkeiten in ihrer Angriffskette teilen, einschließlich der Tools, mit denen sie die Infektionsschritte ausführen. Laut Trend Micro befinden sich die meisten Zielorganisationen in Südamerika, hauptsächlich in Argentinien.




Hive- und Nokoyawa-Ransomware-Familien: die Ähnlichkeiten

Eine der auffälligsten Ähnlichkeiten ist die Nutzung des Exploits Cobalt Strike, die für den „Ankunfts“-Teil auf dem Zielsystem verwendet wird. Andere Tools, die beide Ransomware zu verwenden scheinen, sind die Anti-Rootkit-Scanner GMER und PC Hunter zur Umgehung. Beide Malware-Teile führen auch das Sammeln von Informationen und die seitliche Bereitstellung auf ähnliche Weise durch.

Andere Tools in der Ausrüstung von Hive Ransomware sind NirSoft und MalXMR Miner, Wird verwendet, um die Angriffsfähigkeiten entsprechend der Umgebung des Ziels zu verbessern. Die Analyse von Trend Micro ergab, dass Nokoyawa die gleichen Tricks gegen seine Opfer anwendet. „Wir haben beobachtet, dass die Ransomware andere Tools wie z. Mimikatz, Z0Miner, und Boxter. Wir fanden auch Beweise basierend auf einer der von Nokoyawa verwendeten IP-Adressen, dass die beiden Ransomware-Familien dieselbe Infrastruktur nutzen,“ fügten die Forscher hinzu.

In Bezug darauf, wie Nokoyawa auf dem System bereitgestellt wird, Es gab noch keine sicheren Beweise. Aber angesichts all der Ähnlichkeiten, die es mit Hive teilt, Die Ransomware-Betreiber verlassen sich höchstwahrscheinlich auf Phishing-E-Mails, um in das System einzudringen.

Es ist bemerkenswert, dass Cobalt Streik Das Post-Exploitation-Tool ist bei Ransomware-Gruppen sehr beliebt. Jedoch, durch die Analyse des Gesamtbildes, Es scheint definitiv, dass die beiden Ransomware-Familien verwandt sind. Die bisher gesammelten Informationen deuten definitiv darauf hin, dass die Betreiber von Hive jetzt eine andere Familie verwenden, Nokoyawa.

Es gibt immer noch keine Beweise dafür, dass die neue Ransomware-Familie die Technik der doppelten Erpressung verwendet, im Gegensatz zu Hive, der es bei seinen Angriffen verwendet hat, der Bericht wies darauf hin.

Die Verschlüsselung von Hive Ransomware wurde kürzlich entschlüsselt

Es ist bemerkenswert, dass Die Verschlüsselung von Hive wurde kürzlich besiegt, als Sicherheitsforscher einen Weg fanden, seinen Verschlüsselungsalgorithmus ohne Verwendung des Hauptschlüssels zu entschlüsseln. Eine Gruppe von Wissenschaftlern der südkoreanischen Kookmin University hat ihre merkwürdigen Ergebnisse in einem ausführlichen Bericht mit dem Titel „Eine Methode zur Entschlüsselung von mit Hive Ransomware infizierten Daten“ geteilt.. Offenbar, Die Forscher konnten „den Hauptschlüssel zum Generieren des Dateiverschlüsselungsschlüssels ohne den privaten Schlüssel des Angreifers wiederherstellen, durch Nutzung einer durch Analyse identifizierten kryptografischen Schwachstelle.“

Hive verwendet eine hybride Verschlüsselung und eine eigene symmetrische Chiffre, um die Dateien des Opfers zu verschlüsseln. Die Forscher konnten den Hauptschlüssel wiederherstellen, der den Dateiverschlüsselungsschlüssel ohne den privaten Schlüssel der Angreifer generiert. Dies war aufgrund eines kryptografischen Fehlers möglich, den sie während der Analyse entdeckten. Als Ergebnis ihrer Erfahrung, verschlüsselte Dateien wurden mit dem wiederhergestellten Hauptschlüssel erfolgreich entschlüsselt, so der Bericht.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau