セキュリティ研究者は、Hiveとの類似性を示す新しいランサムウェアの発見を報告しています. 後者は、の最も著名なランサムウェアファミリの1つと見なされています。 2021, 正常に違反以上 300 わずか4か月で組織, トレンドマイクロのレポートは指摘しました. 3月, 研究者は別の証拠を検出しました, 比較的未知のランサムウェア, のこやわとして知られています.
のこやわとハイブは関係があるようです, 攻撃チェーンでいくつかの顕著な類似点を共有する, 感染手順を実行するために使用するツールを含む. トレンドマイクロによると、対象となる組織のほとんどは南米にあります。, 主にアルゼンチンで.
ハイブとノコヤワランサムウェアファミリー: 類似点
最も顕著な類似点の1つは、CobaltStrikeエクスプロイトの利用です。, これは、対象システムの「到着」部分に使用されます. 両方のランサムウェアが使用していると思われる他のツールには、回避のためのアンチルートキットスキャナーGMERとPCHunterが含まれます. どちらのマルウェアも、同様の方法で情報収集と横方向の展開を実行します.
Hiveランサムウェアの機器の他のツールには、NirSoftおよびMalXMRマイナーが含まれます, ターゲットの環境に応じて攻撃能力を強化するために使用されます. トレンドマイクロの分析によると、ノコヤワは犠牲者に対して同じトリックを使用している. 「ランサムウェアが次のような他のツールを活用していることを確認しました。. ミミカッツ, Z0Miner, とボクスター. また、Nokoyawaが使用したIPアドレスの1つに基づいて、2つのランサムウェアファミリが同じインフラストラクチャを共有しているという証拠も見つかりました。,」研究者は付け加えた.
のこやわがシステム上でどのように配信されるかという点で, まだ特定の証拠はありません. しかし、それがハイブと共有するすべての類似点を考慮すると, ランサムウェアのオペレーターは、システムへの侵入をフィッシングメールに依存している可能性が高いです。.
注目に値するのは コバルトストライク 悪用後のツールは、ランサムウェアグループの間で非常に人気があります. でも, 全体像を分析することによって, 確かに2つのランサムウェアファミリーは関連しているようです. これまでに収集された情報は、Hiveのオペレーターが現在別のファミリーを使用していることを明確に示しています, のこやわ.
新しいランサムウェアファミリーが二重恐喝技術を使用しているという証拠はまだありません, ハイブとは異なり, その攻撃でそれを使用している, レポート 指摘した.
HiveRansomwareの暗号化が最近解読されました
注目に値するのは Hiveの暗号化は最近無効になりました, セキュリティ研究者がマスターキーを使用せずに暗号化アルゴリズムを解読する方法を見つけたとき. 韓国の国民大学校の学者グループが、「ハイブランサムウェアに感染したデータを復号化する方法」というタイトルの詳細なレポートで興味深い発見を共有しました。. どうやら, 研究者は、「攻撃者の秘密鍵なしでファイル暗号化鍵を生成するためのマスター鍵を回復することができました。, 分析を通じて特定された暗号化の脆弱性を使用することによって。」
Hiveは、ハイブリッド暗号化と独自の対称暗号を使用して、被害者のファイルを暗号化します. 研究者は、攻撃者が所有する秘密鍵なしで、ファイル暗号化鍵を生成するマスター鍵を回復することができました。. これは、分析中に発見された暗号の欠陥が原因で可能でした. 彼らの経験の結果として, 暗号化されたファイルは、復元されたマスターキーを使用して正常に復号化されました, レポートによると.