Beveiligingsonderzoekers melden de ontdekking van een nieuwe ransomware die overeenkomsten vertoont met Hive. De laatste wordt beschouwd als een van de meest prominente ransomware-families van 2021, met succes meer dan 300 organisaties in slechts vier maanden, Uit het rapport van Trend Micro bleek:. In maart, de onderzoekers ontdekten bewijs van een ander, relatief onbekende ransomware, bekend als Nokoyawa.
Het lijkt erop dat Nokoyawa en Hive verwant zijn, enkele opvallende overeenkomsten delen in hun aanvalsketen, inclusief de tools die ze gebruiken om de infectiestappen uit te voeren. Trend Micro zei dat de meeste gerichte organisaties zich in Zuid-Amerika bevinden, meestal in Argentinië.
Hive en Nokoyawa Ransomware Families: de gelijkenissen
Een van de meest opvallende overeenkomsten is het gebruik van de Cobalt Strike-exploit, die wordt gebruikt voor het gedeelte "aankomst" op het beoogde systeem. Andere tools die beide ransomware lijken te gebruiken, zijn de anti-rootkitscanners GMER en PC Hunter voor ontduiking. Beide malware-onderdelen voeren ook het verzamelen van informatie en laterale implementatie op een vergelijkbare manier uit.
Andere tools in de apparatuur van Hive ransomware zijn onder meer NirSoft en MalXMR miner, gebruikt om de aanvalsmogelijkheden te verbeteren op basis van de omgeving van het doelwit. Uit de analyse van Trend Micro bleek dat Nokoyawa dezelfde trucs gebruikt tegen zijn slachtoffers. “We hebben gezien dat de ransomware gebruikmaakt van andere tools, zoals:. Mimikatz, Z0Miner, en Boxter. We hebben ook bewijs gevonden op basis van een van de IP-adressen die door Nokoyawa worden gebruikt dat de twee ransomware-families dezelfde infrastructuur delen,"voegden de onderzoekers eraan toe".
In termen van hoe Nokoyawa op het systeem wordt geleverd, er is nog geen zeker bewijs. Maar gezien alle overeenkomsten die het deelt met Hive, de ransomware-operators vertrouwen hoogstwaarschijnlijk op phishing-e-mails voor infiltratie in het systeem.
het is opmerkelijk dat Cobalt Strike tool voor post-exploitatie is behoorlijk populair onder ransomware-groepen. Echter, door het grotere geheel te analyseren, het lijkt er zeker op dat de twee ransomware-families verwant zijn. De informatie die tot nu toe is verzameld, impliceert absoluut dat de operators van Hive nu een andere familie gebruiken, Nokoyawa.
Er is nog steeds geen bewijs dat de nieuwe ransomware-familie de dubbele afpersingstechniek gebruikt, in tegenstelling tot Hive, die het in zijn aanvallen heeft gebruikt?, het verslag wees erop.
De versleuteling van Hive Ransomware is onlangs ontcijferd
het is opmerkelijk dat De codering van Hive is onlangs verslagen, omdat beveiligingsonderzoekers een manier hebben gevonden om het coderingsalgoritme te ontcijferen zonder de hoofdsleutel te gebruiken. Een groep academici van de Kookmin University in Zuid-Korea heeft hun merkwaardige bevindingen gedeeld in een gedetailleerd rapport met de titel "A Method for Decrypting Data Infected with Hive Ransomware". Blijkbaar, de onderzoekers waren in staat om "de hoofdsleutel te herstellen voor het genereren van de bestandscoderingssleutel zonder de privésleutel van de aanvaller", door gebruik te maken van een door analyse geïdentificeerde cryptografische kwetsbaarheid.”
Hive gebruikt een hybride codering en zijn eigen symmetrische codering om de bestanden van het slachtoffer te coderen. De onderzoekers waren in staat om de hoofdsleutel te herstellen die de bestandscoderingssleutel genereert zonder de privésleutel die eigendom is van de aanvallers. Dit was mogelijk vanwege een cryptografische fout die ze tijdens de analyse ontdekten. Als resultaat van hun ervaring, gecodeerde bestanden zijn met succes gedecodeerd met behulp van de herstelde hoofdsleutel, aldus het rapport.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: