Hive勒索軟體升級為Rust，採用更復雜的加密方法

原文地址：https://thehackernews.com/2022/07/hive-ransomware-upgrades-to-rust-for.html
翻譯：夢幻的彼岸

Hive勒索軟體即服務（RaaS）計劃的運營商已經對其檔案加密軟體進行了大修，以完全遷移到Rust，並採用了更復雜的加密方法。

"Microsoft Threat Intelligence Center---微軟威脅情報中心（MSTIC）在週二的一份報告中說："隨著它的最新變體攜帶幾個主要的升級，Hive也證明了它是發展最快的勒索軟體家族之一，體現了不斷變化的勒索軟體生態系統。

2021年6月首次觀察到的Hive已經成為最多產的RaaS集團之一，僅在2022年5月就佔了17次攻擊，與Black Basta和Conti並列。

從GoLang到Rust的轉變使Hive成為繼BlackCat之後第二個用程式語言編寫的勒索軟體，使惡意軟體能夠獲得額外的好處，如記憶體安全和對低階資源的更深入控制，以及利用廣泛的加密庫。

它還提供了使惡意軟體對逆向工程具有抵抗力的能力，使其更具規避性。此外，它還具有停止與安全解決方案相關聯的服務和程式的功能，這些服務和程式可能會在其執行過程中停止。


Hive與其他勒索軟體家族沒有什麼不同，它刪除備份以防止恢復，但在新的基於Rust的變體中，變化很大的是它對檔案加密的方法。

"MSTIC解釋說："它不是在它加密的每個檔案中嵌入一個加密的金鑰，而是在記憶體中生成兩套金鑰，用它們來加密檔案，然後加密並將這兩套金鑰寫入它所加密的驅動器的根部，這兩套金鑰的副檔名都是.key。

為了確定這兩個金鑰中的哪一個用於鎖定一個特定的檔案，一個加密檔案被重新命名，以包括包含金鑰的檔名，然後再加上一個下劃線和一個Base64編碼的字串（例如，"C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8"），指向相應.key檔案中的兩個不同位置。

Bleeping Computer本週報導說，這些發現是由於不太知名的AstraLocker勒索軟體背後的威脅行為者停止運作併發布了一個解密工具，作為轉向加密劫持的一部分。

但有跡象表明，網路犯罪的形勢在不斷變化，網路安全研究人員發現了一個新的勒索軟體家族，名為RedAlert（又名N13V），能夠同時針對Windows和Linux VMWare ESXi伺服器。