I ricercatori di sicurezza segnalano la scoperta di un nuovo ransomware che mostra somiglianze con Hive. Quest'ultima è stata considerata una delle famiglie di ransomware più importanti di 2021, violando con successo più di 300 organizzazioni in soli quattro mesi, Il rapporto di Trend Micro ha sottolineato. A marzo, i ricercatori hanno rilevato la prova di un altro, ransomware relativamente sconosciuto, noto come Nokoyawa.
Sembra che Nokoyawa e Hive siano imparentati, condividendo alcune sorprendenti somiglianze nella loro catena di attacco, compresi gli strumenti che usano per eseguire i passaggi dell'infezione. Trend Micro ha affermato che la maggior parte delle organizzazioni mirate si trova in Sud America, principalmente in Argentina.
Famiglie di ransomware Hive e Nokoyawa: le somiglianze
Una delle somiglianze più sorprendenti è l'utilizzo dell'exploit Cobalt Strike, che viene utilizzato per la parte "arrivo" sul sistema di destinazione. Altri strumenti che entrambi i ransomware sembrano utilizzare includono gli scanner anti-rootkit GMER e PC Hunter per l'evasione. Entrambi i malware eseguono anche la raccolta di informazioni e l'implementazione laterale in modo simile.
Altri strumenti nelle apparecchiature di Hive ransomware includono NirSoft e MalXMR miner, utilizzato per migliorare le capacità di attacco in base all'ambiente del bersaglio. L'analisi di Trend Micro ha rivelato che Nokoyawa usa gli stessi trucchi contro le sue vittime. “Abbiamo osservato che il ransomware sfrutta altri strumenti come. Mimikatz, Z0 Minatore, e Boxter. Abbiamo anche trovato prove basate su uno degli indirizzi IP utilizzati da Nokoyawa che le due famiglie di ransomware condividono la stessa infrastruttura,” hanno aggiunto i ricercatori.
In termini di modalità di consegna di Nokoyawa sul sistema, non ci sono ancora prove certe. Ma considerando tutte le somiglianze che condivide con Hive, molto probabilmente gli operatori di ransomware fanno affidamento su e-mail di phishing per infiltrarsi nel sistema.
E 'degno di nota Cobalt sciopero strumento di post-sfruttamento è stato molto popolare tra i gruppi di ransomware. Tuttavia, analizzando il quadro più ampio, sembra decisamente che le due famiglie di ransomware siano correlate. Le informazioni raccolte finora implicano sicuramente che gli operatori di Hive stiano ora utilizzando un'altra famiglia, Nokoyawa.
Non ci sono ancora prove che la nuova famiglia di ransomware stia utilizzando la tecnica della doppia estorsione, a differenza dell'alveare, che lo ha utilizzato nei suoi attacchi, il rapporto sottolineato.
La crittografia di Hive Ransomware è stata decifrata di recente
E 'degno di nota La crittografia di Hive è stata sconfitta di recente, poiché i ricercatori di sicurezza hanno trovato un modo per decifrare il suo algoritmo di crittografia senza utilizzare la chiave principale. Un gruppo di accademici della Kookmin University della Corea del Sud ha condiviso le loro curiose scoperte in un rapporto dettagliato intitolato "Un metodo per decifrare i dati infettati da Hive Ransomware". Apparentemente, i ricercatori sono stati in grado di “recuperare la chiave principale per generare la chiave di crittografia dei file senza la chiave privata dell'attaccante, utilizzando una vulnerabilità crittografica identificata attraverso l'analisi.
Hive utilizza una crittografia ibrida e il proprio codice simmetrico per crittografare i file della vittima. I ricercatori sono stati in grado di recuperare la chiave principale che genera la chiave di crittografia dei file senza la chiave privata di proprietà degli aggressori. Ciò è stato possibile a causa di un difetto crittografico scoperto durante l'analisi. Come risultato della loro esperienza, i file crittografati sono stati decrittografati con successo utilizzando la chiave master recuperata, dice il rapporto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: