原文地址:https://thehackernews.com/2022/07/hive-ransomware-upgrades-to-rust-for.html
翻譯:夢幻的彼岸
Hive勒索軟體即服務(RaaS)計劃的運營商已經對其檔案加密軟體進行了大修,以完全遷移到Rust,並採用了更復雜的加密方法。
"Microsoft Threat Intelligence Center---微軟威脅情報中心(MSTIC)在週二的一份報告中說:"隨著它的最新變體攜帶幾個主要的升級,Hive也證明了它是發展最快的勒索軟體家族之一,體現了不斷變化的勒索軟體生態系統。
2021年6月首次觀察到的Hive已經成為最多產的RaaS集團之一,僅在2022年5月就佔了17次攻擊,與Black Basta和Conti並列。
從GoLang到Rust的轉變使Hive成為繼BlackCat之後第二個用程式語言編寫的勒索軟體,使惡意軟體能夠獲得額外的好處,如記憶體安全和對低階資源的更深入控制,以及利用廣泛的加密庫。
它還提供了使惡意軟體對逆向工程具有抵抗力的能力,使其更具規避性。此外,它還具有停止與安全解決方案相關聯的服務和程式的功能,這些服務和程式可能會在其執行過程中停止。
Hive與其他勒索軟體家族沒有什麼不同,它刪除備份以防止恢復,但在新的基於Rust的變體中,變化很大的是它對檔案加密的方法。
"MSTIC解釋說:"它不是在它加密的每個檔案中嵌入一個加密的金鑰,而是在記憶體中生成兩套金鑰,用它們來加密檔案,然後加密並將這兩套金鑰寫入它所加密的驅動器的根部,這兩套金鑰的副檔名都是.key。
為了確定這兩個金鑰中的哪一個用於鎖定一個特定的檔案,一個加密檔案被重新命名,以包括包含金鑰的檔名,然後再加上一個下劃線和一個Base64編碼的字串(例如,"C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8"),指向相應.key檔案中的兩個不同位置。
Bleeping Computer本週報導說,這些發現是由於不太知名的AstraLocker勒索軟體背後的威脅行為者停止運作併發布了一個解密工具,作為轉向加密劫持的一部分。
但有跡象表明,網路犯罪的形勢在不斷變化,網路安全研究人員發現了一個新的勒索軟體家族,名為RedAlert(又名N13V),能夠同時針對Windows和Linux VMWare ESXi伺服器。