了解Hive勒索病毒 – 防止成為下一个受害者

(2023.07 更新近況)

基本介紹

Hive首次發現於 2021年6月，是一個聯盟式的勒索軟體變種，用來對全球的醫療機構、非營利組織、零售商…部門發起網路攻擊。Hive的建構是基於勒索病毒即服務 (RaaS *註1) 架構上的，能根據需要而被使用。

採用GO語言開發，並以UPX進行壓縮

加密算法為 AES + RSA (*註2)

通常模式為雙重勒索 (Double extortion – 不止加密敏感數據，還會威脅洩漏出去)

聯絡方法為 Live Chat 線上聊天，不同於以前常用的電子郵件

根據Chainalysis 統計報告，Hive勒索病毒位於2021年全球最賺錢的勒索病毒排行榜中的第8位!

既然要租借給他人當作武器，自然逃不掉好看及方便的介面

提供給租借方的儀表板，可以看到被加密的商家數、已付款的商家數、已付款的金額…等

Hive Live Chat後台 – 有沒有很像客服人員回覆的畫面

最近新聞

2022年1月傳出，韓國研究員已經找到辦法還原Master Key了，就不須要駭客手中的私鑰了。研究員從Master Key 產生及儲存的地方找到了加密漏洞，可以用來反推回去，對Master Key進行一定比例的還原。

下圖為Hive勒索病毒加密流程圖，可以看到Master Key主要的作用為產生加密金鑰，且會在倒數第3個步驟被清除。

所以若可以一定程度的還原Master Key，代表可以得到加密金鑰，也能試著讓資料還原了。

(完整論文請參考 – 2202.08477.pdf (arxiv.org))

(2023年7月更新)

2023年一月時，美國官員公布了一則振奮人心的消息

FBI局長在新聞發表會上表示，自2022年7月以來，FBI以對HIVE的電腦網路獲得了極高的訪問權限，使得FBI可以將電腦「密鑰」交給受害者，共阻止了1.3億美金的贖金支付。

“Simply put, using lawful means, we hacked the hackers,”

「簡單來說，我們用了合法的方式駭了駭客」

*註1 勒索病毒即服務 (RaaS) – 基本上可以認為是提供勒索病毒的供應商，更多資訊請看 勒索病毒即服務（RaaS）：推波助瀾了大量攻擊 – 資安趨勢部落格 (trendmicro.com.tw)

*註2 進階加密標準 + 非對稱加密演算法(之後講到區塊鏈或密碼學時會再補充於此文章)

參考文章 :

• Hive 介紹- Hive Ransomware Analysis (varonis.com)
• 2021勒索病毒統計數據 – As Ransomware Payments Continue to Grow, So Too Does Ransomware’s Role in Geopolitical Conflict – Chainalysis
• Hive 破解 – Master Key for Hive Ransomware Retrieved Using a Flaw in its Encryption Algorithm (thehackernews.com)
• Hive勒索軟體出現Linux、FreeBSD版本變種 | ESET
• 一款全新的勒索病毒Hive来袭，已有企业中招 – FreeBuf网络安全行业门户
• Hive ransomware enters big league with hundreds breached in four months (bleepingcomputer.com)
• FBI seizes website used by notorious ransomware gang | CNN Politics (2023.07更新)

延伸閱讀 : 大型勒索病毒不放暑假,今年夏天進入四重勒索警戒!企業如何防止被找到攻擊破口? – 資安趨勢部落格 (trendmicro.com.tw)