Η λειτουργία Hive ransomware έχει μεταφέρει την κρυπτογράφηση VMware ESXi Linux στη γλώσσα προγραμματισμού Rust και πρόσθεσε νέες δυνατότητες για να κάνει πιο δύσκολο για τους ερευνητές ασφάλειας να κατασκοπεύσουν τις διαπραγματεύσεις για τα λύτρα του θύματος.
Καθώς η επιχείρηση εξαρτάται όλο και περισσότερο από εικονικές μηχανές για εξοικονόμηση πόρων υπολογιστών, ενοποίηση διακομιστών και για ευκολότερη δημιουργία αντιγράφων ασφαλείας, οι συμμορίες ransomware δημιουργούν αποκλειστικούς κρυπτογραφητές που εστιάζουν σε αυτές τις υπηρεσίες.
Οι κρυπτογραφητές Linux της συμμορίας Ransomware στοχεύουν συνήθως τις πλατφόρμες εικονικοποίησης VMware ESXI καθώς είναι οι πιο συχνά χρησιμοποιούμενες στην επιχείρηση.
Ενώ η Hive χρησιμοποιεί κρυπτογράφηση Linux για να στοχεύει διακομιστές VMware ESXi εδώ και αρκετό καιρό, ένα πρόσφατο δείγμα δείχνει ότι ενημέρωσε την κρυπτογράφηση με λειτουργίες που εισήχθησαν για πρώτη φορά από τη λειτουργία ransomware BlackCat/ALPHV.
Το Hive δανείζεται λειτουργίες από τη BlackCat
Όταν οι επιχειρήσεις ransomware επιτίθενται σε ένα θύμα, προσπαθούν να διεξάγουν τις διαπραγματεύσεις τους ιδιωτικά, λέγοντας στα θύματα εάν δεν πληρωθούν λύτρα τα δεδομένα τους θα δημοσιευτούν και θα υποστούν ένα πλήγμα στη φήμη τους.
Ωστόσο, όταν τα δείγματα ransomware ανεβαίνουν σε δημόσιες υπηρεσίες ανάλυσης κακόβουλου λογισμικού, συνήθως εντοπίζονται από ερευνητές ασφαλείας που μπορούν να εξαγάγουν το σημείωμα λύτρων και να παρακολουθούν τις διαπραγματεύσεις.
Σε πολλές περιπτώσεις, αυτές οι διαπραγματεύσεις δημοσιεύονται στη συνέχεια στο Twitter και αλλού, με αποτέλεσμα οι διαπραγματεύσεις να αποτύχουν.
Η συμμορία ransomware της BlackCat αφαίρεσε τις διευθύνσεις URL διαπραγμάτευσης Tor από τον κρυπτογράφηση της για να αποτρέψει αυτό το ενδεχόμενο. Αντίθετα, απαιτούσε τη διαβίβαση της διεύθυνσης URL ως όρισμα γραμμής εντολών όταν εκτελείται ο κρυπτογραφητής.
Αυτή η δυνατότητα εμποδίζει τους ερευνητές που βρίσκουν το δείγμα να ανακτήσουν τη διεύθυνση URL, καθώς δεν περιλαμβάνεται στο εκτελέσιμο αρχείο και μεταβιβάζεται μόνο στο εκτελέσιμο κατά το χρόνο εκτέλεσης.
Ενώ το Hive Ransomware απαιτεί ήδη όνομα σύνδεσης και κωδικό πρόσβασης για πρόσβαση στη σελίδα διαπραγμάτευσης Tor του θύματος, αυτά τα διαπιστευτήρια αποθηκεύονταν προηγουμένως σε εκτελέσιμο αρχείο κρυπτογράφησης, καθιστώντας εύκολη την ανάκτησή τους.