Pesquisadores de segurança relatam a descoberta de um novo ransomware que exibe semelhanças com o Hive. Este último foi considerado uma das famílias de ransomware mais proeminentes de 2021, violando com sucesso mais de 300 organizações em apenas quatro meses, O relatório da Trend Micro apontou. Em março, os pesquisadores detectaram evidências de outro, ransomware relativamente desconhecido, conhecido como Nokoyawa.
Parece que Nokoyawa e Hive estão relacionados, compartilhando algumas semelhanças impressionantes em sua cadeia de ataque, incluindo as ferramentas que eles usam para executar as etapas de infecção. A Trend Micro disse que as organizações mais visadas estão localizadas na América do Sul, principalmente na Argentina.
Famílias Hive e Nokoyawa Ransomware: as similaridades
Uma das semelhanças mais marcantes é a utilização do exploit Cobalt Strike, que é usado para a parte "chegada" no sistema de destino. Outras ferramentas que ambos os ransomware parecem usar incluem os scanners anti-rootkit GMER e PC Hunter para evasão. Ambas as peças de malware também realizam coleta de informações e implantação lateral de maneira semelhante.
Outras ferramentas no equipamento do Hive ransomware incluem o minerador NirSoft e MalXMR, usado para melhorar as capacidades de ataque de acordo com o ambiente do alvo. A análise da Trend Micro revelou que Nokoyawa usa os mesmos truques contra suas vítimas. “Observamos o ransomware alavancar outras ferramentas, como. Mimikatz, Z0 Miner, e boxeador. Também encontramos evidências baseadas em um dos endereços IP usados por Nokoyawa de que as duas famílias de ransomware compartilham a mesma infraestrutura,”Os pesquisadores acrescentaram.
Em termos de como Nokoyawa é entregue no sistema, ainda não há provas seguras. Mas considerando todas as semelhanças que compartilha com o Hive, os operadores de ransomware provavelmente confiam em e-mails de phishing para infiltração no sistema.
Vale ressaltar que Cobalt greve ferramenta de pós-exploração tem sido bastante popular entre os grupos de ransomware. Contudo, analisando a imagem maior, definitivamente parece que as duas famílias de ransomware estão relacionadas. As informações coletadas até agora definitivamente implicam que os operadores do Hive agora estão usando outra família, Nokoyawa.
Ainda não há evidências de que a nova família de ransomware esteja usando a técnica de dupla extorsão, ao contrário do Hive, que vem usando em seus ataques, o relatório apontou.
A criptografia do Hive Ransomware foi decifrada recentemente
Vale ressaltar que A criptografia do Hive foi derrotada recentemente, como pesquisadores de segurança encontraram uma maneira de decifrar seu algoritmo de criptografia sem usar a chave mestra. Um grupo de acadêmicos da Universidade Kookmin da Coréia do Sul compartilhou suas curiosas descobertas em um relatório detalhado intitulado “Um método para descriptografar dados infectados com Hive Ransomware”. Pelo visto, os pesquisadores conseguiram “recuperar a chave mestra para gerar a chave de criptografia do arquivo sem a chave privada do invasor, usando uma vulnerabilidade criptográfica identificada por meio de análise.”
O Hive usa uma criptografia híbrida e sua própria cifra simétrica para criptografar os arquivos da vítima. Os pesquisadores conseguiram recuperar a chave mestra que gera a chave de criptografia do arquivo sem a chave privada de propriedade dos invasores. Isso foi possível devido a uma falha criptográfica que eles descobriram durante a análise. Como resultado de sua experiência, os arquivos criptografados foram descriptografados com sucesso usando a chave mestra recuperada, segundo o relatório.