Các nhà nghiên cứu gần đây đã thông báo rằng họ đã giải mã dữ liệu được mã hóa bằng ransomware Hive mà không sử dụng khóa riêng tư mà phần mềm độc hại này tạo ra để khóa nội dung.
“Bằng cách phân tích quá trình mã hóa của ransomware Hive, chúng tôi xác nhận rằng các lỗ hổng tồn tại bằng cách sử dụng thuật toán mã hóa của riêng chúng”, theo một bài báo được công bố bởi các nhà nghiên cứu từ Đại học Kookmin của Hàn Quốc. “Chúng tôi đã khôi phục một phần khóa chính để tạo khóa mã hóa tệp, để cho phép giải mã dữ liệu được mã hóa bởi Hive ransomware.”
Nhóm nghiên cứu đã xác định một lỗ hổng mã hóa trong cơ chế mà ransomware sử dụng để tạo và lưu trữ khóa. Hive ransomware chỉ mã hóa các phần của tài liệu bị xâm nhập thay vì toàn bộ tệp bằng cách sử dụng hai dòng khóa có nguồn gốc từ khóa chính.
Hive sử dụng thao tác XOR trên hai dòng khóa để tạo dòng khóa mã hóa, dòng khóa này được hợp nhất với dữ liệu và XOR được ghép vào các khối thay thế để tạo tệp được mã hóa. Trong khi kỹ thuật này hoạt động, nó cũng cho phép các chuyên gia đoán ra dòng khóa, khôi phục khóa chính và giải mã nội dung được mã hóa mà không cần khóa riêng của phần mềm độc hại.
Nhóm nghiên cứu được cho là đã phát minh ra một phương pháp đáng tin cậy để khôi phục gần như tất cả các khóa mã hóa bằng cách sử dụng lỗ hổng. “Chúng tôi đã khôi phục 95% khóa chính mà không có khóa riêng RSA của kẻ tấn công và giải mã dữ liệu bị nhiễm thực tế”, theo nhóm học giả.
Giống như các nhóm tội phạm mạng khác, Hive điều hành hoạt động Ransomware-as-a-Service (Raas) triển khai nhiều công cụ, kỹ thuật và chiến thuật khác nhau để tấn công các doanh nghiệp, lấy cắp và mã hóa dữ liệu của họ, đồng thời đòi tiền chuộc để đổi lấy quyền truy cập vào khóa giải mã .
Băng nhóm này cũng tham gia vào các âm mưu tống tiền kép, trong đó thủ phạm đe dọa sẽ làm rò rỉ dữ liệu nhạy cảm của nạn nhân bị lộ trên các trang web khác nhau nếu yêu cầu của họ không được đáp ứng. Hive sử dụng nhiều kỹ thuật khác nhau để xâm phạm mạng, bao gồm thông tin đăng nhập VPN bị xâm phạm, email lừa đảo và máy chủ RDP dễ bị tấn công.
Theo Bitdefender Việt Nam