WIndows-версия вредоноса получила “апгрейд”, который усложнил шифрование и сделал Hive еще быстрее и надежнее.
https://www.securitylab.ru/upload/ib...f7b3b38951.png
В своем недавнем отчете специалисты из Microsoft Threat Intelligence Center назвали Hive одним из самых быстро развивающихся семейств вымогательского ПО. В последнем обновлении разработчики Hive полностью изменили инфраструктуру шифровальщика. Самыми главными изменениями стал переход с GoLang на Rust и усложнение методов шифрования.
Перейдя на Rust, вредонос получил несколько преимуществ:<ul><li>Безопасно� �ть по памяти, типам данных и потокам;</li>
</ul><ul><li>Многопоточность;</li>
</ul><ul><li>Устойчивость к реверс-инжинирингу;</li>
</ul><ul><li>Полный контроль над низкоуровневыми ресурсами;</li>
</ul><ul><li>Широкий выбор криптографических библиотек.</li>
</ul>Кроме этого, разработчики добавили Hive парочку “полезных” фич. Теперь вымогательское ПО использует функции, завершающие службы и процессы, связанные с решениями безопасности, а также способен построчно шифровать свой код, в качестве меры противодействия анализу.
Метод шифрования у обновленного Hive стал намного интереснее. Вместо того, чтобы встраивать зашифрованный ключ в каждый шифруемый файл, вредонос генерирует в памяти два набора ключей, использует их, после чего записывает с расширением .key в корневой каталог диска.
Чтобы определить, какой из двух ключей используется для блокировки конкретного файла, зашифрованный файл переименовывается – к нему добавляется имя .key-файла, знак подчеркивания и строка в кодировке Base64, указывающая на два разных блока данных в key-файле. Итоговый результат может выглядеть вот так: C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8.
Апгрейд Hive, окончание вымогательской деятельности AstraLocker и появление RedAlert – все это говорит о том, что ландшафт киберугроз постоянно меняется и ИБ-специалистам нужно оставаться начеку.