Il primo tentativo di decifrare i dati infettati dal ransomware Hive senza fare affidamento sulla chiave privata utilizzata per bloccare l’accesso al contenuto è riuscito.
“Siamo stati in grado di recuperare la chiave master per generare la chiave di crittografia del file senza la chiave privata dell’attaccante, utilizzando una vulnerabilità crittografica identificata attraverso l’analisi“, ha dichiarato un gruppo di accademici della Kookmin University della Corea del Sud .
Hive, come altri gruppi di criminali informatici, gestisce un ransomware-as-a-service che utilizza diversi meccanismi per compromettere le reti aziendali, esfiltrare i dati e crittografare i dati sulle reti con lo scopo di raccogliere un riscatto in cambio dell’accesso al software di decrittazione.
È stato osservato per la prima volta nel giugno 2021, quando ha colpito una società chiamata Altus Group. Hive sfrutta una varietà di metodi di compromissione iniziale, tra cui server RDP vulnerabili, credenziali VPN compromesse, così come e-mail di phishing con allegati dannosi.
Il gruppo pratica anche lo schema sempre più redditizio della doppia estorsione, in cui gli attori vanno oltre la semplice crittografia esfiltrazione dei dati sensibili delle vittime e minacciano di far trapelare le informazioni sul loro sito Tor, “HiveLeaks“.
A partire dal 16 ottobre 2021, il programma Hive RaaS ha vittimizzato almeno 355 aziende come Media Markt, con il gruppo che si è assicurato l’ottavo posto tra i primi 10 ceppi ransomware per fatturato nel 2021.
Le attività maligne associate al gruppo hanno anche spinto l’U.S. Federal Bureau of Investigation (FBI) a rilasciare un rapporto che dettaglia il modus operandi degli attacchi, notando come il ransomware termina i processi relativi a backup, anti-virus e copia di file per facilitare la crittografia.
La vulnerabilità crittografica identificata dai ricercatori riguarda il meccanismo con cui vengono generate e memorizzate le chiavi master, con il ceppo del ransomware che crittografa solo porzioni selezionate del file in contrasto con l’intero contenuto utilizzando due flussi di chiavi derivate dalla chiave master.
“Per ogni processo di crittografia dei file, sono necessari due flussi di chiavi dalla chiave principale“, fanno sapere i ricercatori. “Due flussi di chiavi sono creati selezionando due offset casuali dalla chiave master ed estraendo 0x100000 byte (1MiB) e 0x400 byte (1KiB) dall’offset selezionato, rispettivamente“.
Il keystream di crittografia, che è creato da un’operazione XOR dei due keystream, è poi XORato con i dati in blocchi alternati per generare il file crittografato. Ma questa tecnica permette anche di indovinare i flussi di chiavi e ripristinare la chiave principale, consentendo a sua volta la decodifica dei file crittografati senza la chiave privata dell’attaccante.
I ricercatori hanno detto che sono stati in grado di armare la falla per escogitare un metodo per recuperare in modo affidabile più del 95% delle chiavi utilizzate durante la crittografia.
“La chiave principale recuperata nel 92% dei casi è riuscita a decifrare circa il 72% dei file, la chiave principale ripristinata 96% è riuscita a decifrare circa l’82% dei file, e la chiave principale ripristinata al 98% è riuscita a decifrare circa il 98% dei file”, hanno detto i ricercatori.
