Вредонос Hive окончательно перешел на Rust и сменил подход к шифрованию

Вредонос Hive окончательно перешел на Rust и сменил подход к шифрованию

Опасения ИБ-экспертов сбылись: Windows-версию Hive тоже переписали на Rust; в результате шифровальщик стал работать быстрее, надежнее и повысил устойчивость к анализу. Новые образцы вредоноса, разобранные в Microsoft, также используют другой, более сложный метод шифрования.

Шифровальщик Hive, предоставляемый пользование как услуга (RaaS), объявился в интернете немногим более года назад. Вредоносный код на тот момент был написан на Go и заточен под Windows. Осенью зловреда портировали на Linux — не совсем удачно, поэтому позднее шифратор в этой версии был переписан на Rust.

Эксперимент оправдал себя, и наблюдатели из ИБ-сообщества предрекли, что нововведение, ранее опробованное на примере BlackCat/ALPHV, перекочует в Windows-версию Hive. По словам экспертов, использование Rust в данном случае дает такие преимущества, как безопасность по памяти, типам данных и потокам, полный контроль над низкоуровневыми ресурсами, многопоточность, широкий выбор криптобиблиотек, осложнение реверс-инжиниринга.

Первые образцы Windows-версии Hive на Rust, как показало исследование, были загружены на VirusTotal 21 февраля — через пару дней после публикации отчета корейских специалистов, которым удалось получить мастер-ключ зловреда. В ходе анализа семплов в Microsoft выяснилось, что Hive теперь использует другие алгоритмы шифрования: Диффи-Хеллмана для эллиптических кривых и ChaCha20 (прежде применялась связка AES+RSA).

Обновленный вредонос генерирует в памяти два набора ключей, пускает их в ход, затем шифрует и записывает в формате .key в корневой каталог диска с зашифрованными данными — вместо того чтобы вставлять их в обработанные файлы, как ранее. Чтобы не путать ключи к разным файлам, их имена изменяются: к оригинальному полному имени добавляются имя релевантного файла .key, знак подчеркивания, дефис и закодированная по base64 строка, указывающая на два разных блока данных в key-файле. Результат может выглядеть следующим образом: C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8.

 

В рамках апгрейда вирусописатели также опробовали построчное шифрование кода как меру противодействия анализу. Содержимое секции ресурсов .rdata расшифровывается во время выполнения программы — через XOR с константами, значения которых в семплах могут различаться.

Еще одно нововведение, тоже ожидаемое: учетные данные для доступа жертв к персонализированным страницам в сети Tor теперь, как и в Linux-версии Hive, передаются как аргумент командной строки (-u <логин>:<пароль>). Прежде они были вшиты в код зловреда, и аналитики могли извлечь их и следить за ходом переговоров о выкупе.

Существенный апгрейд Hive — еще одно доказательство того, что в мире шифровальщиков все быстро меняется. В этом месяце стало известно о прекращении операций AstraLocker — вымогатели выложили в общий доступ дешифраторы, решив заняться криптоджекингом. Освободившуюся нишу сразу занял новичок RedAlert, способный атаковать и Windows, и Linux (серверы VMWare ESXi).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Solar DAG поможет бизнесу минимизировать риск утечки важных данных

ГК «Солар» анонсировала запуск Solar DAG — комплексного решения по управлению доступом к неструктурированным данным. Система помогает определить в хранимом массиве критически важную информацию и сосредоточить усилия ИБ-службы на ее защите.

Многофункциональный продукт корпоративного класса позволяет поставить на контроль все действия, повышающие риск неправомерного использования данных. Новая DAG-система также обладает высокой производительностью:

  • потоковая обработка — до 100 млн событий в системах хранения данных в сутки;
  • контентный анализ — до 1,5 Тбайт в сутки;
  • быстрота выполнения запросов при построении отчетов.

Возможность работы в геораспределенном режиме позволяет применять Solar DAG в организациях с большим количеством филиалов. При централизованном использовании продукта можно разделить области видимости для админов, чтобы снизить риск несанкционированного доступа к информации и статистике.

Реализованная в продукте поддержка ОС Astra Linux Special Edition версии «Смоленск» и RedOS редакции 7.3 позволит решить задачу импортозамещения ИТ-инфраструктуры.

«Решения линейки продуктового портфеля управления доступом ГК «Солар» позволяют нам уже сейчас предоставлять клиентам эффективную защиту конфиденциальных данных от киберугроз, — отметил директор департамента inRights ГК «Солар» Дмитрий Бондарь. — Интеграция существующих платформ [Solar inRights, SafeInspect] с Solar DAG позволит усилить контроль доступа за счет увеличения уровня конфиденциальности неструктурированных данных, а также защитит их от утечки».

В современных условиях управление доступом к неструктурированным данным актуально для любой крупной компании. По оценке Gartner, от 80 до 90% хранимых в организациях данных являются неструктурированными, и объемы их растут в три раза быстрее, чем структурированной информации.

Формат, в котором хранятся неструктурированные данные, осложняет контроль и управление. Более того, 70% сотрудников компаний, по данным «Солара», имеют доступ к информации без наличия на то полномочий, что повышает финансовые и репутационные риски для бизнеса.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru