Брешь в алгоритме шифрования позволила получить мастер-ключ Hive

Брешь в алгоритме шифрования позволила получить мастер-ключ Hive

Специалистам одного из университетов Южной Кореи удалось расшифровать файлы, пострадавшие от программы-вымогателя Hive. По словам экспертов, они обнаружили брешь в алгоритме шифрования.

Авторы Hive работают по модели «шифровальщик как услуга» и используют различные техники для проникновения в корпоративные сети, а также извлечения и шифрования данных.

«Мы смогли восстановить мастер-ключ, который используется для генерации ключа шифрования файлов. В процессе нам не потребовался закрытый ключ злоумышленников, поскольку мы выявили уязвимость в криптографическом алгоритме», — объясняют специалисты Кунминского университета, расположенного в Сеуле.

Стоящая за Hive кибергруппировка, атаки которой стартовали в июне 2021 года, использует для проникновения в сеть жертвы уязвимые RDP-серверы, скомпрометированные учётные данные от VPN, а также фишинговые письма с вредоносными вложениями.

Помимо этого, злоумышленники задействуют так называемую схему двойного вымогательства, в которой важные файлы не только шифруется, но и перед этим выгружаются на принадлежащий преступникам сервер. Впоследствии вымогатели угрожают опубликовать внутреннюю информацию, если компания не заплатит выкуп. Все данные группировка размещала на Tor-сайте “HiveLeaks”.

Криптографическая уязвимость, которую удалось обнаружить южнокорейским исследователям, затрагивает механизм генерации и хранения мастер-ключа. Особенность этого механизма заключается в том, что Hive шифрует только определённые части файла с помощью двух потоков ключа, извлекаемых из мастер-ключа.

 

«Для каждого процесса шифрования файлов нужны два потока ключа, получаемые из мастер-ключа. Они создаются при выборе двух случайных офсетов и извлечения 0x100000 и 0x400 байтов», — отмечают эксперты.

Оказалось, что подход Hive позволяет угадать поток ключей и восстановить мастер-ключ. Как отметили специалисты, им удалось получить более 95% ключей. Стало быть, степень успешности довольно высокая.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ИТ-вендоры приветствуют конкуренцию, но клиентам она обходится дорого

На Иннопроме прошла сессия Сколково “Время первых. Как гранты помогают реализовать пилотное внедрение технологий”. ИТ-разработчики говорили о конкуренции на рынке, клиенты видят в разнообразии решений лишние траты и головную боль.

Вопросы технологического импортозамещения обсуждали сегодня на промышленной выставке в Екатеринбурге. На сессии Сколково собрались главы компаний и проектов, которые получили гранты от Сколково и уже реализовали проекты.

Господдержка помогает, говорит Роман Соболев из ПАО «Объединенная авиастроительная корпорация». В совместном проекте участвует софт от компании «Топ Систем». По словам Соболева, в итоге получился информационный хаб, который позволяет заводу вести сразу несколько проектов. Производитель называет это идеальным случаем, когда объединяется сразу несколько моделей данных ПО.

Гранты позволяют входить в объекты наивысшей сложности, объясняет гендиректор самих «Топ Систем» Сергей Кураксин. Вендор занимается сложным софтом.

“Наши разработки успешно заменяют иностранное ПО в легком и среднем классе, — говорит Кураксин. — Гранты Сколково дают шанс войти в тот класс, где до этого было засилье иностранного софта”.

На сессии возник вопрос о конкуренции. Нужна ли она в новых реалиях 24 февраля: зарубежные вендоры ушли, и соревноваться теперь можно только с внутренними аналогами. Курасин приветствует конкуренцию. По его словам, для вендоров это стимул развиваться и быть лучше.

“Когда выбора не будет, вы будете вынуждены покупать только то, что есть на рынке по одной  цене”, — предупреждает Курасин.

Но конкуренция вендоров не так однозначно воспринимается самими производителями. Роман Соболев замечает: здоровая конкуренция, которая раньше воспринималась нормально, сейчас слишком дорого обходится промышленности.

“Лучше бы её не было, — то ли шутит, то ли серьезно говорит Соболев. — Сейчас мы столкнулись с тем, что зависимы от того или иного решения, даже в рамках информационных систем”. 

Производитель хотел бы видеть технологический суверенитет не только государства, но и принятых решений. Продукты отечественных разработчиков должны интегрироваться между собой.

“Мы не хотим в очередной раз переводить все свои данные с одного софта на другой”, — объясняет Соболев.

“Уверен, что унификация нужна и состоится, — высказывает мнение Анатолий Маслов, директор по ИТ компании Новосталь-М. — Вопрос в том, как это организовать. Возможно, нужно новое ведомство, которое поможет разработать такие стандарты”.

Вопрос совместимости в ИТ похож на ту же проблему в кибербезе. Клиенты хотят быть уверенными, что решения от разных вендоров смогут «летать» на одном оборудовании и не сталкиваться между собой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru