Descifrador De Ransomware #HIVE (Yes!)

Buenas noticias para las víctimas del ransomware Hive. Los investigadores de Agencia de Ciberseguridad de Corea del Sur (KISA) han lanzado un descifrador gratuito para las versiones v1 a v4 de este popular ransomware (ZIP).

La agencia lanzó un ejecutable junto con un manual de usuario que proporciona instrucciones paso a paso para recuperar datos cifrados de forma gratuita.

La operación de ransomware Hive ha estado activa desde junio de 2021, proporciona Ransomware-as-a-Service y adopta un modelo de doble extorsión que amenaza con publicar datos robados a las víctimas en su sitio de fuga (HiveLeaks). En abril de 2021, la Oficina Federal de Investigaciones (FBI) publicó una alerta rápida sobre los ataques de ransomware Hive que incluye detalles técnicos e indicadores de compromiso asociados con las operaciones de la pandilla.

Según un informe publicado por la empresa de análisis de cadena de bloques Chainalysis, el ransomware Hive es una de las 10 principales variantes de ransomware por ingresos en 2021. El grupo usó una variedad de métodos de ataque, incluidas campañas de malspam, servidores RDP vulnerables y credenciales de VPN comprometidas.

En febrero, un equipo de investigadores de la Universidad de Kookmin (Corea del Sur) descubrió una falla en el algoritmo de cifrado utilizado por el ransomware Hive que les permitía descifrar datos sin conocer la clave privada utilizada por la pandilla para cifrar archivos.

Hive ransomware utiliza un esquema de cifrado híbrido, pero utiliza su propio cifrado simétrico para cifrar archivos. Los investigadores de Kookmin pudo recuperar la clave maestra para generar la clave de cifrado de archivos sin la clave privada del atacante, mediante el uso de una vulnerabilidad criptográfica identificada a través del análisis. Como resultado del experimento, los archivos cifrados se descifraron con éxito utilizando la clave maestra recuperada según nuestro mecanismo. "Hasta donde sabemos, este es el primer intento exitoso de descifrar el ransomware Hive. Demostramos experimentalmente que más del 95% de las claves utilizadas para el cifrado se pueden recuperar con el método que sugerimos".

La técnica ideada por el equipo de académicos logró recuperar más del 95% de las claves utilizadas para el proceso de cifrado que se representa en la siguiente imagen:

Los expertos detallaron el proceso utilizado por el ransomware Hive para generar y almacenar la clave maestra para los archivos de las víctimas. El ransomware genera 10MiB de datos aleatorios y los utiliza como clave maestra. El malware se extrae de un desplazamiento específico de la clave maestra de 1 MiB y 1 KiB de datos para cada archivo que se va a cifrar y usar como flujo de claves. El desplazamiento se almacena en el nombre de archivo cifrado de cada archivo. Esto significa que los expertos pudieron determinar el desplazamiento del flujo de claves almacenado en el nombre del archivo y descifrar el archivo.

Los hallazgos de los investigadores probablemente fueron el punto de partida para el trabajo de la agencia KISA que finalmente desarrolló un descifrador.

Fuente: SecurityAffairs


Via: blog.segu-info.com.ar
Descifrador De Ransomware #HIVE (Yes!) Descifrador De Ransomware #HIVE (Yes!) Reviewed by Zion3R on 7:29 Rating: 5