En yıkıcı fidye yazılımlarından biri (yeni sekmede açılır)Hizmet olarak sunulan araçlar Hive, büyük bir revizyondan geçirilerek virüsten koruma programlarına karşı daha dayanıklı hale getirildi (yeni sekmede açılır) ve diğer güvenlik çözümleri.
Bunlar, yakın zamanda yeni bir Hive varyantına derin bir dalış yapan Microsoft Tehdit İstihbarat Merkezi’ndeki (MSTIC) bir araştırmacı ekibinin bulgularıdır.
Microsoft raporunda, “Hive fidye yazılımı yalnızca yaklaşık bir yaşında, ilk kez Haziran 2021’de gözlemlendi, ancak hizmet olarak fidye yazılımı (RaaS) ekosistemindeki en yaygın fidye yazılımı yüklerinden biri haline geldi” dedi. .
En büyük değişiklik, Go’dan (GoLang olarak da bilinir) Rust’a tam kod geçişidir. Microsoft, bu güncellemelerin etkisinin “geniş kapsamlı” olduğunu söylüyor.
Diğer şeylerin yanı sıra Rust, düşük seviyeli kaynaklar üzerinde derin kontrol sunar, kullanıcı dostu bir sözdizimine sahiptir, eşzamanlılık ve paralellik için çeşitli mekanizmalara, iyi çeşitlilikte kriptografik kitaplıklara sahiptir ve tersine mühendislik yapmak nispeten daha zordur.
Yeni varyant ayrıca dize şifrelemeyi kullanır, bu da algılamayı biraz zorlaştırır ve temel algoritmalar da değişti. Hive’ın Rust versiyonu, Curve25519 ve XChaCha20-Poly1305 (ChaCha20 simetrik şifre ile doğrulanmış şifreleme) ile Eliptik Eğri Diffie-Hellmann (ECDH) kullanır.
Dosya şifrelemeye gelince, artık bellekte iki anahtar seti oluşturur (her şifrelenmiş dosyaya şifreli bir anahtar yerleştirmek yerine) ve her ikisini de hedef uç noktasındaki dosyaları şifrelemek için kullanır. (yeni sekmede açılır). Ardından kümeleri şifreler ve her ikisi de .key uzantılı olarak şifrelenmiş sürücünün kök dizinine yazar.
Üstüne üstlük, operatörler saldırıyı takip eden fidye mesajını değiştirdi. Yeni sürüm artık .key dosyalarına yeni dosya adı kurallarıyla başvuruyor ve mağdurları “şifresini çözecek hiçbir şey” olmayacağından VM’leri silmemeleri veya yeniden yüklememeleri konusunda uyarıyor.
Hive, Rust’a taşınan ilk fidye yazılımı değil, ancak bir trendi işaret eden ilk yazılım olabilir. Hive’dan önce, sıçramayı yapan başka bir başarılı fidye yazılımı olan BlackCat’tı.