Один из самых подлых штаммов программ-вымогателей получил обновление со вкусом ржавчины
вычисления techradar.com Новости

Один из самых подлых штаммов программ-вымогателей получил обновление со вкусом ржавчины

7 июля 2022 г.

Один из самых разрушительных инструментов программ-вымогателей, предоставляемых как услуга. Hive претерпел значительные изменения, сделав его более устойчивым к антивирусным программам и другим решениям для обеспечения безопасности. .

Таковы выводы группы исследователей из Microsoft Threat Intelligence Center (MSTIC), которые недавно подробно изучили новый вариант Hive.

«Программы-вымогатели Hive ему всего около года, впервые он был обнаружен в июне 2021 года, но он превратился в одну из самых распространенных полезных нагрузок программ-вымогателей в экосистеме программ-вымогателей как услуги (RaaS)», — говорится в отчете Microsoft.

Большое влияние

Самое большое изменение — полный перенос кода с Go (также известного как GoLang) на Rust. По словам Microsoft, влияние этих обновлений «далеко идущее».

Среди прочего, Rust предлагает глубокий контроль над низкоуровневыми ресурсами, имеет удобный синтаксис, имеет несколько механизмов параллелизма и параллелизма. , большое разнообразие криптографических библиотек, и его относительно сложно реконструировать.

В новом варианте также используется строковое шифрование, что затрудняет его обнаружение, и основные алгоритмы тоже изменились. Версия Hive для Rust использует эллиптическую кривую Диффи-Хеллмана (ECDH) с Curve25519 и XChaCha20-Poly1305 (шифрование с проверкой подлинности с помощью симметричного шифра ChaCha20).

Подробнее

> Лучший брандмауэр 2022 года: лучшие платные и бесплатные сервисы

> Группа вымогателей Conti официально закрывается, но, вероятно, ненадолго

> В этом году программы-вымогатели затронули больше компаний, чем когда-либо

Что касается шифрования файлов, то теперь он создает в памяти два набора ключей (в отличие от встраивания зашифрованного ключа в каждый зашифрованный файл) и использует оба для шифрования файлов на целевом конечная точка. Затем он шифрует и записывает наборы в корень зашифрованного диска, оба с расширениями .key.

В довершение всего операторы изменили сообщение о выкупе, которое следует за атакой. Новая версия теперь ссылается на файлы .key с их новым соглашением об именах файлов и предупреждает жертв, чтобы они не удаляли и не переустанавливали Виртуальные машины, так как «расшифровывать будет нечего».

Hive — не первая программа-вымогатель, перешедшая на Rust, но она может быть первой, указывающей на тенденцию. До Hive прыжок совершил BlackCat, еще одна успешная программа-вымогатель.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE