Los investigadores de seguridad informan del descubrimiento de un nuevo ransomware que muestra similitudes con Hive. Este último ha sido considerado una de las familias de ransomware más destacadas de 2021, violando con éxito más de 300 organizaciones en solo cuatro meses, El informe de Trend Micro señaló. En marzo, los investigadores detectaron evidencia de otra, ransomware relativamente desconocido, conocido como Nokoyawa.
Parece que Nokoyawa y Hive están emparentados., compartiendo algunas similitudes sorprendentes en su cadena de ataque, incluidas las herramientas que utilizan para ejecutar los pasos de infección. Trend Micro dijo que la mayoría de las organizaciones objetivo se encuentran en América del Sur., principalmente en Argentina.
Familias de ransomware Hive y Nokoyawa: Las similitudes
Una de las similitudes más llamativas es la utilización del exploit Cobalt Strike., que se utiliza para la parte de "llegada" en el sistema de destino. Otras herramientas que ambos ransomware parecen usar incluyen los escáneres anti-rootkit GMER y PC Hunter para la evasión.. Ambas piezas de malware también realizan la recopilación de información y el despliegue lateral de manera similar..
Otras herramientas en el equipo de Hive ransomware incluyen NirSoft y MalXMR miner, se utiliza para mejorar las capacidades de ataque de acuerdo con el entorno del objetivo. El análisis de Trend Micro reveló que Nokoyawa utiliza los mismos trucos contra sus víctimas. “Hemos observado que el ransomware aprovecha otras herramientas como. Mimikatz, Minero Z0, y Boxter. También encontramos evidencia basada en una de las direcciones IP utilizadas por Nokoyawa de que las dos familias de ransomware comparten la misma infraestructura.,”Agregaron los investigadores.
En términos de cómo se entrega Nokoyawa en el sistema, no ha habido pruebas ciertas todavía. Pero considerando todas las similitudes que comparte con Hive, lo más probable es que los operadores de ransomware confíen en los correos electrónicos de phishing para infiltrarse en el sistema.
Es de destacar que huelga de cobalto La herramienta posterior a la explotación ha sido bastante popular entre los grupos de ransomware.. Sin embargo, analizando el panorama general, definitivamente parece que las dos familias de ransomware están relacionadas. La información reunida hasta ahora definitivamente implica que los operadores de Hive ahora están usando otra familia, Nokoyawa.
Todavía no hay evidencia de que la nueva familia de ransomware esté usando la técnica de doble extorsión, a diferencia de la colmena, que lo ha estado utilizando en sus ataques, el informe señalado.
El cifrado de Hive Ransomware fue descifrado recientemente
Es de destacar que El cifrado de Hive fue derrotado recientemente, ya que los investigadores de seguridad encontraron una manera de descifrar su algoritmo de cifrado sin usar la clave maestra. Un grupo de académicos de la Universidad Kookmin de Corea del Sur compartió sus curiosos hallazgos en un informe detallado titulado "Un método para descifrar datos infectados con Hive Ransomware".. Al parecer,, los investigadores pudieron "recuperar la clave maestra para generar la clave de cifrado de archivos sin la clave privada del atacante, mediante el uso de una vulnerabilidad criptográfica identificada a través del análisis”.
Hive utiliza un cifrado híbrido y su propio cifrado simétrico para cifrar los archivos de la víctima.. Los investigadores pudieron recuperar la clave maestra que genera la clave de cifrado de archivos sin la clave privada propiedad de los atacantes.. Esto fue posible debido a una falla criptográfica que descubrieron durante el análisis.. Como resultado de su experiencia., los archivos cifrados se descifraron con éxito utilizando la clave maestra recuperada, según el informe.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: