Hive RaaS が Rust にアップグレード:より洗練された暗号化方式が実装されている

Hive Ransomware Upgrades to Rust for More Sophisticated Encryption Method

2022/07/06 TheHackerNews — Ransomware-as-a-Service (RaaS) Hive のオペレーターたちが、Hive の構成を全面的に見直し、記述言語を GoLang から Rust へと移行し、より洗練された暗号化方式を採用し始めた。火曜日のレポートで Microsoft Threat Intelligence Center (MSTIC) は、「Hive は、複数の大規模なアップグレードを伴う最新の亜種で、最も急速に進化するランサムウェア・ファミリーの1つであることも証明しており、絶えず変化するランサムウェアのエコシステムを実証している」と述べている。


2021年6月に初めて観測された Hive は、2022年5月の1カ月間だけで 17件の攻撃を行い、Black Basta/Conti と並んで、最も多発する RaaS グループの1つとして頭角を現している。

GoLang から Rust への移行により、Hive は BlackCat に続いて、このプログラミング言語で記述された2番目のランサムウェアとなった。加えて、メモリ安全性や低レベルリソースに対する、より深い制御などのメリットを追加し、幅広い暗号ライブラリの利用も可能になった。

また、リバース・エンジニアリングを難しくすることで、検出の回避に長けたマルウェアとなっているほか、マルウェアを阻止する可能性のあるセキュリティ・ソリューションのサービス/プロセスを停止させる機能も備えている。


Hive は、バックアップを削除して復元できないようにする点では、他のランサムウェアと変わらない。しかし、Rust ベースの新しい亜種になり、大きく変わったのは、ファイルの暗号化に対するアプローチだ。

MSTIC は、「暗号化する各ファイルに暗号鍵を埋め込むのではなく、メモリ内に2つの鍵セットを生成することでファイルを暗号化し、暗号化したドライブのルートにそのセットを暗号化して書き込む (いずれも拡張子は .key) 」と説明している。

2つの鍵のうち、どちらが特定のファイルのロックに使用されているかを判断するには、対応する .key ファイル内の異なる2箇所を特定する必要がある。そのためには、暗号化されたファイルの名前を変更し、鍵を含むファイル名の後にアンダースコアと Base64 エンコード文字列(例:C: \myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8)を追加する。

今週の Bleeping Computer によると、この調査結果は、あまり知られていないランサムウェア AstraLocker の脅威アクターが、クリプトジャッキングへのシフトの一環として運用を停止し、復号化ツールをリリースしたことを受けて公表されたようだ。

その一方では、サイバー・セキュリティ研究者たちが、Windows/Linux の VMWare ESXi サーバーを標的にする、RedAlert (別名 N13V) という新たなランサムウェア・ファミリーを発見したように、サイバー犯罪の状況は常に流動的であることが示唆されている。

Hive が Rust にスイッチしたとのことですが、その理由に関しては、2021年7月の「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか?」を、ご参照ください。ランサムウェア・ギャングが用いるツール群は、目的を迅速かつ静かに達成するためのものであり、そのためには開発言語の変更も必要になるようです。3月27日の「Hive が Linux VMware ESXi 暗号化ツールを Rust に移植:解析と分析が困難に」も、参考になるかもしれません。よろしければ、Hive で検索も、ご利用ください。

%d bloggers like this: