Forscher haben den „ersten erfolgreichen Versuch“ beschrieben, mit der Ransomware Hive infizierte Daten zu entschlüsseln, ohne auf den privaten Schlüssel angewiesen zu sein, mit dem der Zugriff auf die Inhalte gesperrt wurde.
„Wir waren in der Lage, den Hauptschlüssel für die Generierung des Dateiverschlüsselungsschlüssels ohne den privaten Schlüssel des Angreifers wiederherzustellen, indem wir eine kryptografische Schwachstelle ausnutzten, die durch eine Analyse identifiziert wurde“, so eine Gruppe von Akademikern der südkoreanischen Kookmin Universität in einem neuen Papier, in dem sie den Verschlüsselungsprozess analysieren.
Wie andere Cyberkriminelle betreibt Hive einen Ransomware-as-a-Service, der verschiedene Mechanismen nutzt, um Unternehmensnetzwerke zu kompromittieren, Daten zu exfiltrieren und Daten in den Netzwerken zu verschlüsseln, und versucht, im Austausch für den Zugang zur Entschlüsselungssoftware ein Lösegeld zu verlangen.
Er wurde erstmals im Juni 2021 beobachtet, als er ein Unternehmen namens Altus Group angriff. Hive nutzt eine Reihe von Methoden zur Kompromittierung, darunter anfällige RDP-Server, kompromittierte VPN-Zugangsdaten und Phishing-E-Mails mit bösartigen Anhängen.
Die Gruppe praktiziert auch die zunehmend lukrative Methode der doppelten Erpressung, bei der die Akteure über die Verschlüsselung hinausgehen, indem sie auch sensible Daten der Opfer exfiltrieren und damit drohen, diese Informationen auf ihrer Tor-Seite „HiveLeaks“ zu veröffentlichen.
Bis zum 16. Oktober 2021 wurden mindestens 355 Unternehmen Opfer des Hive RaaS-Programms. Laut dem Blockchain-Analyseunternehmen Chainalysis belegt die Gruppe den achten Platz unter den zehn umsatzstärksten Ransomware-Stämmen im Jahr 2021.
Die bösartigen Aktivitäten der Gruppe haben das U.S. Federal Bureau of Investigation (FBI) dazu veranlasst, einen Flash-Bericht zu veröffentlichen, der den Modus Operandi der Angriffe detailliert beschreibt und aufzeigt, wie die Ransomware Prozesse im Zusammenhang mit Backups, Virenschutz und Dateikopien beendet, um die Verschlüsselung zu erleichtern.
Die kryptografische Schwachstelle, die von den Forschern identifiziert wurde, betrifft den Mechanismus, mit dem die Hauptschlüssel generiert und gespeichert werden, wobei der Ransomware-Stamm nur ausgewählte Teile der Datei verschlüsselt und nicht den gesamten Inhalt, indem er zwei vom Hauptschlüssel abgeleitete Schlüsselströme verwendet.
„Für jeden Dateiverschlüsselungsprozess werden zwei Schlüsselströme aus dem Hauptschlüssel benötigt“, erklären die Forscher. „Zwei Keystreams werden erstellt, indem zwei zufällige Offsets des Hauptschlüssels ausgewählt und 0x100000 Bytes (1MiB) bzw. 0x400 Bytes (1KiB) aus dem ausgewählten Offset extrahiert werden.
Der verschlüsselte Schlüsselstrom, der durch eine XOR-Operation der beiden Schlüsselströme entsteht, wird dann mit den Daten in alternativen Blöcken XOR-verknüpft, um die verschlüsselte Datei zu erzeugen. Mit dieser Technik ist es aber auch möglich, die Schlüsselströme zu erraten und den Hauptschlüssel wiederherzustellen, sodass verschlüsselte Dateien ohne den privaten Schlüssel des Angreifers entschlüsselt werden können.
Die Forscher/innen gaben an, dass sie die Schwachstelle ausnutzen konnten, um eine Methode zu entwickeln, mit der mehr als 95 % der bei der Verschlüsselung verwendeten Schlüssel zuverlässig wiederhergestellt werden können.
„Mit dem wiederhergestellten Hauptschlüssel konnten 92% der Dateien entschlüsselt werden, mit dem wiederhergestellten Hauptschlüssel 96% der Dateien und mit dem wiederhergestellten Hauptschlüssel 98% der Dateien“, so die Forscher.