Hackernews 编译,转载请注明出处:
“Hive勒索软件即服务”(RaaS)计划的幕后运营者已经彻底修改了他们的文件加密软件,完全迁移到Rust,并采用了更复杂的加密方法。
Hive于2021年6月首次被观察到,现已成为最多产的RaaS组织之一,仅在2022年5月就与Black Basta和Conti一起发生了17次攻击事件。
从GoLang到Rust的转变使Hive成为继BlackCat之后第二种用编程语言编写的勒索软件,使该恶意软件能够获得额外的好处,如内存安全性、对底层资源更深入的控制以及广泛密码库的使用。它还提供了使恶意软件抵抗逆向工程的能力,使其更具规避性。此外,它还具有停止与安全解决方案相关的服务和进程的功能,这些服务和进程可能会阻止其追踪。
Hive和其他勒索软件系列没有什么不同,它会删除备份以防止恢复,但在新的基于Rust的变体中,显著变化的是它的文件加密方法。
MSTIC解释说:“它不是在每个加密的文件中嵌入一个加密的密钥,而是在内存中生成两组密钥,用它们来加密文件,然后将这两组密钥集加密并写入它加密的驱动器的根目录,这两组密钥的扩展名都是.key。”
为了确定两个密钥中哪一个用于锁定特定文件,将加密文件重命名为包含密钥的文件名,然后后跟下划线和Base64编码的字符串(例如,”C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8″),该字符串指向对应的.key文件中的两个不同位置。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文