🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Hive ransomware sử dụng Rust để có thể mã hóa phức tạp hơn

08/07/2022

Những kẻ phát triển Hive ransomware-as-a-service (RaaS) đã nâng cấp và áp dụng phương pháp mã hóa phức tạp hơn cho phần mềm mã hóa tệp của chúng.

Microsoft Threat Intelligence Center (MSTIC) cho biết: "Với biến thể mới nhất, Hive đã chứng minh nó là một trong những họ ransomware phát triển nhanh nhất và cho thấy hệ sinh thái ransomware thay đổi liên tục".

Hive, được phát hiện lần đầu vào tháng 6 năm 2021, là một trong những nhóm RaaS phát triển nhanh nhất, đã thực hiện 17 cuộc tấn công chỉ trong tháng 5 năm 2022, cùng với Black Basta và Conti.

Sự chuyển đổi từ GoLang sang Rust khiến Hive trở thành họ ransomware thứ hai sau BlackCat được viết bằng ngôn ngữ lập trình Rust, giúp nó có thêm các lợi ích như an toàn bộ nhớ và kiểm soát sâu hơn các tài nguyên cấp thấp cũng như tận dụng các thư viện mật mã.

Điều này cũng mang lại khả năng chống lại kỹ thuật reverse giúp nó dễ lẩn tránh hơn và đi kèm với tính năng vô hiệu hóa các dịch vụ và tiến trình liên quan đến các giải pháp bảo mật có thể ngăn chặn hoạt động của nó.

Giống với các dòng ransomware khác, Hive xóa các bản sao lưu để ngăn cản việc khôi phục, nhưng điều thay đổi đáng kể trong biến thể dựa trên Rust của nó là cách tiếp cận mã hóa tệp.

MSTIC giải thích rằng: "Thay vì nhúng một khóa được mã hóa vào mỗi tệp mà nó mã hóa, nó tạo ra hai bộ khóa trong bộ nhớ [được dùng để mã hóa các tệp], sau đó mã hóa và ghi các bộ vào thư mục root mà nó mã hóa, cả hai đều có phần mở rộng .key ".

Để xác định khóa nào trong hai khóa đã được sử dụng để mã hóa, tệp được mã hóa sẽ được đổi tên để bao gồm tên tệp chứa khóa sau đó được nối với dấu gạch dưới và chuỗi được mã hóa Base64 (ví dụ: "C: \ myphoto.jpg .l0Zn68cb _ -B82BhIaGhI8 ") trỏ đến hai vị trí khác nhau trong tệp .key tương ứng.

Bleeping Computer cho biết các phát hiện được đưa ra sau khi kẻ đứng sau ransomware AstraLocker ngừng hoạt động và phát hành một công cụ giải mã như một phần của quá trình chuyển đổi sang crytojacking.

Một dấu hiệu khác cho thấy bối cảnh tội phạm mạng đang thay đổi liên tục, các nhà nghiên cứu bảo mật đã phát hiện một họ ransomware mới có tên RedAlert (hay N13V) có khả năng nhắm mục tiêu vào các máy chủ Windows và Linux VMWare ESXi.

Nguồn: thehackernews.com.

 
scrolltop