Des chercheurs en sécurité rapportent la découverte d'un nouveau ransomware qui présente des similitudes avec Hive. Ce dernier a été considéré comme l'une des familles de rançongiciels les plus importantes de 2021, franchir avec succès plus de 300 organisations en seulement quatre mois, Le rapport de Trend Micro a souligné. En mars, les chercheurs ont détecté des preuves d'un autre, rançongiciel relativement inconnu, connu sous le nom de Nokoyawa.
Il semble que Nokoyawa et Hive soient liés, partageant des similitudes frappantes dans leur chaîne d'attaque, y compris les outils qu'ils utilisent pour exécuter les étapes d'infection. Trend Micro a déclaré que la plupart des organisations ciblées sont situées en Amérique du Sud, principalement en Argentine.
Familles de ransomwares Hive et Nokoyawa: les similitudes
L'une des similitudes les plus frappantes est l'utilisation de l'exploit Cobalt Strike, qui est utilisé pour la partie « arrivée » sur le système visé. D'autres outils que les deux rançongiciels semblent utiliser incluent les scanners anti-rootkit GMER et PC Hunter pour l'évasion. Les deux logiciels malveillants effectuent également la collecte d'informations et le déploiement latéral de la même manière..
Les autres outils de l'équipement du rançongiciel Hive incluent le mineur NirSoft et MalXMR, utilisé pour améliorer les capacités d'attaque en fonction de l'environnement de la cible. L'analyse de Trend Micro a révélé que Nokoyawa utilise les mêmes astuces contre ses victimes. "Nous avons observé que le ransomware exploite d'autres outils tels que. Mimikatz, Z0Miner, et boxeur. Nous avons également trouvé des preuves basées sur l'une des adresses IP utilisées par Nokoyawa que les deux familles de rançongiciels partagent la même infrastructure,” les chercheurs ont ajouté.
En ce qui concerne la manière dont Nokoyawa est livré sur le système, il n'y a pas encore de preuve certaine. Mais compte tenu de toutes les similitudes qu'il partage avec Hive, les opérateurs de rançongiciels s'appuient très probablement sur les e-mails de phishing pour s'infiltrer dans le système.
Il est à noter que cobalt grève l'outil de post-exploitation a été très populaire parmi les groupes de rançongiciels. Cependant, en analysant la situation dans son ensemble, il semble bien que les deux familles de ransomwares soient liées. Les informations recueillies jusqu'à présent impliquent définitivement que les opérateurs de Hive utilisent désormais une autre famille, Nokoyawa.
Il n'y a toujours aucune preuve que la nouvelle famille de rançongiciels utilise la technique de la double extorsion, contrairement à Hive, qui l'a utilisé dans ses attaques, le rapport souligné.
Le cryptage de Hive Ransomware a été déchiffré récemment
Il est à noter que Le cryptage de Hive a été vaincu récemment, car les chercheurs en sécurité ont trouvé un moyen de déchiffrer son algorithme de chiffrement sans utiliser la clé principale. Un groupe d'universitaires de l'Université Kookmin de Corée du Sud a partagé ses curieuses découvertes dans un rapport détaillé intitulé "Une méthode de décryptage des données infectées par Hive Ransomware".. Apparemment, les chercheurs ont pu "récupérer la clé principale pour générer la clé de chiffrement du fichier sans la clé privée de l'attaquant, en utilisant une vulnérabilité cryptographique identifiée par analyse.
Hive utilise un chiffrement hybride et son propre chiffrement symétrique pour chiffrer les fichiers de la victime. Les chercheurs ont pu récupérer la clé principale qui génère la clé de chiffrement du fichier sans la clé privée détenue par les attaquants. Cela a été possible grâce à une faille cryptographique qu'ils ont découverte lors de l'analyse. Grâce à leur expérience, les fichiers cryptés ont été décryptés avec succès à l'aide de la clé principale récupérée, le rapport.