Hive Fidye Yazılımının Ana Anahtarı, Şifreleme Algoritmasındaki Bir Kusur Kullanılarak Alındı
Araştırmacılar, içeriğe erişimi kilitlemek için kullanılan özel anahtara güvenmeden Hive fidye yazılımı bulaşmış verilerin şifresini çözmede "ilk başarılı girişim" olarak adlandırdıkları şeyi ayrıntılı olarak açıkladılar.
Güney Kore'deki Kookmin Üniversitesi'nden bir grup akademisyen, şifreleme sürecini analiz eden yeni bir makalede, "Analiz yoluyla belirlenen bir kriptografik güvenlik açığını kullanarak, saldırganın özel anahtarı olmadan dosya şifreleme anahtarını oluşturmak için ana anahtarı kurtarabildik." dedi.
Hive, diğer siber suçlu grupları gibi, iş ağlarını tehlikeye atmak, verileri sızdırmak ve ağlardaki verileri şifrelemek için farklı mekanizmalar kullanan ve şifre çözme yazılımına erişim karşılığında fidye toplamaya çalışan bir hizmet olarak fidye yazılımı işletir.
İlk olarak Haziran 2021'de Altus Group adlı bir şirketi vurduğunda gözlemlendi. Hive, güvenlik açığı bulunan RDP sunucuları, güvenliği ihlal edilmiş VPN kimlik bilgilerinin yanı sıra kötü amaçlı ekleri olan kimlik avı e-postaları da dahil olmak üzere çeşitli ilk ele geçirme yöntemlerinden yararlanır.
Grup ayrıca, aktörlerin hassas kurban verilerini sızdırarak ve Tor siteleri "HiveLeaks" üzerindeki bilgileri sızdırmakla tehdit ederek şifrelemenin ötesine geçtiği, giderek daha karlı hale gelen çifte gasp planını da uyguluyor.
Blockchain analitik şirketi Chainalysis'e göre, 16 Ekim 2021 itibariyle Hive RaaS programı en az 355 şirketi mağdur etti ve grup 2021'de gelir açısından en iyi 10 fidye yazılımı türü arasında sekizinci sırayı aldı.
Grupla bağlantılı kötü niyetli faaliyetler, ABD Federal Soruşturma Bürosu'nun (FBI) saldırıların işleyişini ayrıntılı olarak açıklayan ve fidye yazılımının yedekleme, virüsten koruma ve dosya kopyalama işlemlerini kolaylaştırmak için nasıl sonlandırdığına dikkat çeken bir Flash raporu yayınlamasına neden oldu.
Araştırmacılar tarafından belirlenen kriptografik güvenlik açığı, ana anahtarlardan türetilen iki anahtar akışını kullanarak tüm içeriğin aksine, fidye yazılımı türünün yalnızca dosyanın belirli bölümlerini şifrelediği ana anahtarların oluşturulduğu ve depolandığı mekanizma ile ilgilidir.
Araştırmacılar, "Her dosya şifreleme işlemi için ana anahtardan iki anahtar akışına ihtiyaç var" dedi. "Ana anahtardan iki rastgele ofset seçilerek ve seçilen ofsetten sırasıyla 0x100000 bayt (1MiB) ve 0x400 bayt (1KiB) ayıklanarak iki anahtar akışı oluşturulur."
İki anahtar akışının bir XOR işleminden oluşturulan şifreleme anahtar akışı, daha sonra şifreli dosyayı oluşturmak için alternatif bloklardaki verilerle XOR'lanır. Ancak bu teknik aynı zamanda anahtar akışlarını tahmin etmeyi ve ana anahtarı geri yüklemeyi mümkün kılar ve sırayla şifrelenmiş dosyaların şifresinin saldırganın özel anahtarının çözülmesini sağlar.
Araştırmacılar, şifreleme sırasında kullanılan anahtarların %95'inden fazlasını güvenilir bir şekilde kurtarmak için bir yöntem tasarlamak için kusuru silah haline getirebildiklerini söylediler.
Araştırmacılar, "Kurtarılan ana anahtar %92 dosyaların yaklaşık %72'sinin şifresini çözmeyi başardı, geri yüklenen ana anahtar %96 dosyaların yaklaşık %82'sinin şifresini çözmeyi başardı ve geri yüklenen ana anahtar %98 dosyaların yaklaşık %98'inin şifresini çözmeyi başardı, " dedi.
Kaynak: https://thehackernews.com/2022/02/master-key-for-hive-ransomware.html
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
