了解Hive勒索病毒 – 防止成為下一个受害者

(2023.07 更新近況)

基本介紹

Hive首次發現於 2021年6月,是一個聯盟式的勒索軟體變種,用來對全球的醫療機構、非營利組織、零售商…部門發起網路攻擊。Hive的建構是基於勒索病毒即服務 (RaaS *註1) 架構上的,能根據需要而被使用。

採用GO語言開發,並以UPX進行壓縮

加密算法為 AES + RSA (*註2)

通常模式為雙重勒索 (Double extortion – 不止加密敏感數據,還會威脅洩漏出去)

聯絡方法為 Live Chat 線上聊天,不同於以前常用的電子郵件

根據Chainalysis 統計報告,Hive勒索病毒位於2021年全球最賺錢的勒索病毒排行榜中的第8位!

Top 10 ransomware strains by revenue, 2021

既然要租借給他人當作武器,自然逃不掉好看及方便的介面

提供給租借方的儀表板,可以看到被加密的商家數、已付款的商家數、已付款的金額…等

Hive Ransomware Dashboard

Hive Live Chat後台 – 有沒有很像客服人員回覆的畫面

Hive Live Chat - 病毒管理後台

最近新聞

2022年1月傳出,韓國研究員已經找到辦法還原Master Key了,就不須要駭客手中的私鑰了。研究員從Master Key 產生及儲存的地方找到了加密漏洞,可以用來反推回去,對Master Key進行一定比例的還原。

下圖為Hive勒索病毒加密流程圖,可以看到Master Key主要的作用為產生加密金鑰,且會在倒數第3個步驟被清除。

所以若可以一定程度的還原Master Key,代表可以得到加密金鑰,也能試著讓資料還原了。

Hive勒索病毒加密流程圖

(完整論文請參考 – 2202.08477.pdf (arxiv.org))

(2023年7月更新)

2023年一月時,美國官員公布了一則振奮人心的消息

FBI局長在新聞發表會上表示,自2022年7月以來,FBI以對HIVE的電腦網路獲得了極高的訪問權限,使得FBI可以將電腦「密鑰」交給受害者,共阻止了1.3億美金的贖金支付。

“Simply put, using lawful means, we hacked the hackers,”

「簡單來說,我們用了合法的方式駭了駭客」

*註1 勒索病毒即服務 (RaaS) – 基本上可以認為是提供勒索病毒的供應商,更多資訊請看 勒索病毒即服務(RaaS):推波助瀾了大量攻擊 – 資安趨勢部落格 (trendmicro.com.tw)

*註2 進階加密標準 + 非對稱加密演算法(之後講到區塊鏈或密碼學時會再補充於此文章)


參考文章 :

延伸閱讀 : 大型勒索病毒不放暑假,今年夏天進入四重勒索警戒!企業如何防止被找到攻擊破口? – 資安趨勢部落格 (trendmicro.com.tw)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *