Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Шифровальщик Hive окончательно перешел на Rust и стал опаснее, чем когда-либо

08/07/22

hive malware

В своем недавнем отчете специалисты из Microsoft Threat Intelligence Center назвали Hive одним из самых быстро развивающихся семейств вымогательского ПО. В последнем обновлении разработчики Hive полностью изменили инфраструктуру шифровальщика. Самыми главными изменениями стал переход с GoLang на Rust и усложнение методов шифрования.

Перейдя на Rust, вредонос получил несколько преимуществ:

  • Безопасность по памяти, типам данных и потокам;
  • Многопоточность;
  • Устойчивость к реверс-инжинирингу;
  • Полный контроль над низкоуровневыми ресурсами;
  • Широкий выбор криптографических библиотек.

Кроме этого, разработчики добавили Hive парочку “полезных” фич. Теперь вымогательское ПО использует функции, завершающие службы и процессы, связанные с решениями безопасности, а также способен построчно шифровать свой код, в качестве меры противодействия анализу.

Метод шифрования у обновленного Hive стал намного интереснее. Вместо того, чтобы встраивать зашифрованный ключ в каждый шифруемый файл, вредонос генерирует в памяти два набора ключей, использует их, после чего записывает с расширением .key в корневой каталог диска.

Чтобы определить, какой из двух ключей используется для блокировки конкретного файла, зашифрованный файл переименовывается – к нему добавляется имя .key-файла, знак подчеркивания и строка в кодировке Base64, указывающая на два разных блока данных в key-файле. Итоговый результат может выглядеть вот так: C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8.

Апгрейд Hive, окончание вымогательской деятельности AstraLocker и появление RedAlert – все это говорит о том, что ландшафт киберугроз постоянно меняется и ИБ-специалистам нужно оставаться начеку.

Темы:MicrosoftУгрозыВымогателиязыки программирования
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...