Die Betreiber des Ransomware-as-a-Service (RaaS)-Programms Hive haben ihre Dateiverschlüsselungssoftware überarbeitet, um vollständig auf Rust umzusteigen und eine ausgefeiltere Verschlüsselungsmethode anzuwenden.
„Mit seiner neuesten Variante, die mehrere wichtige Upgrades enthält, beweist Hive, dass es eine der sich am schnellsten entwickelnden Ransomware-Familien ist und ein Beispiel für das sich ständig verändernde Ransomware-Ökosystem darstellt“, so das Microsoft Threat Intelligence Center (MSTIC) in einem Bericht vom Dienstag.
Hive, das erstmals im Juni 2021 beobachtet wurde, hat sich zu einer der produktivsten RaaS-Gruppen entwickelt und war allein im Mai 2022 für 17 Angriffe verantwortlich, neben Black Basta und Conti.
Durch den Wechsel von GoLang zu Rust ist Hive nach BlackCat der zweite Ransomware-Stamm, der in dieser Programmiersprache geschrieben wurde. Dadurch kann die Malware zusätzliche Vorteile wie Speichersicherheit und eine tiefere Kontrolle über Low-Level-Ressourcen erlangen und eine breite Palette an kryptografischen Bibliotheken nutzen.
Außerdem macht sie die Malware resistent gegen Reverse Engineering und macht sie damit noch ausweichfähiger. Darüber hinaus verfügt er über Funktionen, um Dienste und Prozesse zu stoppen, die mit Sicherheitslösungen verbunden sind, die ihn aufhalten könnten.
Hive unterscheidet sich insofern nicht von anderen Ransomware-Familien, als dass er Backups löscht, um eine Wiederherstellung zu verhindern.
„Anstatt einen verschlüsselten Schlüssel in jede Datei einzubetten, die er verschlüsselt, generiert er zwei Schlüsselsätze im Speicher, verschlüsselt damit die Dateien und schreibt die Schlüsselsätze in das Stammverzeichnis des verschlüsselten Laufwerks, beide mit der Erweiterung .key“, erklärt MSTIC.
Um festzustellen, welcher der beiden Schlüssel zum Sperren einer bestimmten Datei verwendet wird, wird eine verschlüsselte Datei umbenannt und enthält den Dateinamen, der den Schlüssel enthält, gefolgt von einem Unterstrich und einer Base64-kodierten Zeichenfolge (z. B. „C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8“), die auf zwei verschiedene Stellen in der entsprechenden .key-Datei verweist.
Die Erkenntnisse kommen zu einem Zeitpunkt, an dem der Bedrohungsakteur, der hinter der weniger bekannten Ransomware AstraLocker steckt, seinen Betrieb einstellt und ein Entschlüsselungstool veröffentlicht, um sich auf Crytojacking zu verlegen, wie Bleeping Computer diese Woche berichtete.
Ein weiteres Indiz dafür, dass sich die Landschaft der Cyberkriminellen in ständigem Wandel befindet, ist die Entdeckung einer neuen Ransomware-Familie namens RedAlert (auch bekannt als N13V), die sowohl Windows- als auch Linux-VMWare ESXi-Server attackieren kann.