Encontrou um bug no ransomware Hive: permite recuperar a chave mestra

Os cibercriminosos não ficarão muito felizes em saber que um bug foi identificado em seu ransomware Hive que permite recuperar a chave mestra . Esta notícia é extremamente interessante porque poder obter a chave mestra permite que as vítimas do ataque recuperem a posse dos seus dados pessoais.

O trabalho do grupo de pesquisa da Universidade Kookmin da Coreia do Sul tem enormes impactos benéficos. De fato, o Hive, que surgiu em junho de 2021, comprometeu muitos sistemas com sérias consequências para as empresas. Recuperar a chave de criptografia não é trivial e as vítimas são forçadas a pagar o resgate para recuperar seus dados.

Como o ransomware Hive funciona

Muitos cibercriminosos trabalham usando o chamado modelo Ransomware-as-a-Service (RaaS), que automatiza o processo de infecção, criptografia e eventual coleta de dados confidenciais. No entanto, muitos desses grupos têm seu próprio código de ética interno com o qual decidem salvaguardar determinados setores para não prejudicar demais a vida dos cidadãos públicos. Por exemplo, vários ransomwares evitam atacar hospitais ou empresas de saúde pública para proteger esses serviços essenciais.

Bug de colmeia de ransomware

Pelo contrário, o Hive atacou o setor de saúde em várias ocasiões com danos muito sérios aos lares de idosos e ao gerenciamento de pacientes hospitalizados. Além disso, o ransomware não se limita apenas a criptografar os discos rígidos da máquina infectada, mas possui um sistema de extorsão de duas camadas. Portanto, existem dois portais, um dedicado às vítimas e outro para os diversos vazamentos de dados realizados.

O primeiro portal é acessível através da autenticação da vítima. Aqui você pode encontrar seus dados pessoais criptografados e recuperá-los pagando o resgate. Além disso, os invasores também criaram um sistema de bate-papo ao vivo para se comunicar com aqueles que encontram seus sistemas fora de serviço. Já o segundo portal é o utilizado para divulgar as informações roubadas nos diversos ataques. O nome, HiveLeaks, descreve perfeitamente seu propósito e sua exposição na dark web serve para preservar sua privacidade.

O Hive, como muitos ransomwares, usa um sistema de criptografia dupla para garantir que o ataque seja eficaz. Quando uma máquina é infectada com um ataque de phishing, o malware é ativado criptografando os discos rígidos. Primeiro, ele gera uma chave de criptografia de 10 MB no sistema em que está. Esta será a chave mestra necessária para a descriptografia também. No entanto, para maior proteção, o malware o criptografa com um sistema de chave assimétrica, onde a chave privada fica nas mãos dos invasores.

O bug no sistema de criptografia do ransomware Hive

O artigo, publicado há poucos dias como pré-impressão , promete excelentes resultados já a partir de seu resumo. Nos últimos meses, o grupo de pesquisa sul-coreano analisou o funcionamento do malware e destacou uma falha no processo de criptografia idealizado pelos invasores e descrito acima.

Os pesquisadores conseguiram recuperar 95% da chave mestra sem obter a chave privada dos invasores. Dessa forma, eles também conseguiram descriptografar alguns dos dados nos sistemas atacados. Começando com a chave mestra, são necessários dois fluxos de chave criptográfica. Ambos são gerados selecionando os deslocamentos de chave primária e, em seguida, fazendo o XOR deles para criar o fluxo de chave para criptografia de arquivo. Essa técnica, no entanto, permite recuperar a mesma chave mestra, garantindo efetivamente o acesso à descriptografia dos dados .

O trabalho é, sem dúvida, pioneiro e pode salvar muitas vítimas ao permitir a recuperação de dados criptografados. Em qualquer caso, nosso conselho é prestar a máxima atenção ao navegar na web. A prevenção, nestes casos, é uma excelente arma.

O artigo Encontrou um bug no Hive ransomware: recuperar a chave mestra vem do Tech CuE | Engenharia de close-up .