Group IB

Представлен метод восстановления файлов, зашифрованных вымогателем Hive

21.02.2022
Представлен метод восстановления файлов, зашифрованных вымогателем Hive

Группа ученых из южнокрейского университета Кукмин опубликовала доклад, в котором описан метод восстановления файлов, зашифрованных вымогательским ПО Hive, сообщает SecurityLab.

Проанализировав процесс шифрования Hive, исследователи обнаружили ряд уязвимостей в алгоритме, с помощью которых возможно получить большую часть “мастер-ключа”, используемого для шифрования файлов жертв.

Вымогатель Hive шифрует данные с применением XOR-шифрования с произвольным ключевым потоком, разным для каждого файла. Как оказалось, этот рандомный ключевой поток довольно просто угадать.

По словам исследователей, разработанная ими техника позволяет получить примерно 95% “мастер-ключа”, но даже без полного ключа возможно восстановить 82%-98% зашифрованных данных.

Hive RaaS (Ransomware-as-a-Service) - одна из наиболее агрессивных партнерских программ, существующих в настоящее время. Список жертв группировки включает медицинские организации и крупные компании, в частности, биофармацевтическую компанию Supernus Pharmaceuticals и сеть магазинов электроники и бытовой техники MediaMarkt.

Hive появилась на кибервымогательской сцене в июне 2021 года после прекращения деятельности ряда группировок, таких как REvil , Darkside , BlackMatter и Avaddon.