Canal de Telegram

28 feb 2022

Segu-Info » » Fallo en el algoritmo de cifrado del ransomware Hive permite recuperar la información secuestrada

Fallo en el algoritmo de cifrado del ransomware Hive permite recuperar la información secuestrada

28 feb 2022, 2:21:00 p.m.   Comenta primero!
   

Cuatro investigadores de la Universidad de Kookmin en Corea del Sur descubren una vulnerabilidad en el algoritmo de cifrado del ransomware que permite obtener la clave maestra y recuperar la información secuestrada.

Hive es una familia de ransomware relativamente reciente. Los primeros ataques se notificaron en junio del 2021 y a pesar de que Hive lleva poco tiempo entre nosotros, está considerada una de las familias más lucrativas del pasado año. Como viene siendo habitual, este malware y su infraestructura es ofrecido como servicio (Ransomware-as-a-Service).

Hive ha evolucionado para incluir sistemas operativos como Linux, Mac iOS y VMware EXSi. Más organizaciones están comenzando a adoptar el mundo digital y están asegurando su centro de datos en la nube. Los atacantes lo saben y lo están usando para su beneficio.

Esto puede ser explicado por una técnica de extorsión muy agresiva que aplica el malware. A diferencia de los ransomware habituales que sólo cifran los archivos, éste realiza una "doble extorsión": por un lado la información queda secuestrada gracias al cifrado que aplica a los archivos de la víctima. Por otro, el malware amenaza a las víctimas con publicar la información robada en su página pública HiveLeaks.

El grupo utiliza una variedad de ataques para su propagación: campañas de malspam, servidores RDP vulnerados o credenciales VPN comprometidas entre otros.

Los investigadores de la Universidad de Corea del sur han conseguido un método para descifrar la información secuestrada por el malware. Giyoon Kim , Soram Kim , Soojin Kang y Jongsung Kim se desarrollan en los campos de la seguridad de la información y la criptografía matemática. En su paper explican el funcionamiento del algoritmo de cifrado del ransomware y cómo han logrado recuperar la clave maestra:

Funcionamiento del ransomware

  1. Generación de clave maestra: Hive genera 10MiB de información aleatoria que será utilizada como clave maestra y como flujo de claves para cifrar los datos.
  2. Cifrado de la clave maestra: la clave maestra se cifra utilizando una clave pública RSA-2048-OAEP que está fija en la muestra. La clave cifrada "base64url_MD5_de_la_clave_maestra.key.hive" se almacena en "C:\" si el ransomware tiene privilegios de administrador o en "C:\Users\\AppData\Local\VirtualStore" en caso contrario.
  3. Para dificultar la recuperación de alguna información se paran los procesos y servicios que puedan estar en ejecución: mspub, msdesktop, bmr, sql, oracle, postgres, redis, vss, backup, sstp
  4. Creación de archivos batch: se generan los archivos "hive.bat" y "shadow.bat", que tienen como objetivo la eliminación evidencias y de posibles copias de seguridad respectivamente. Tras finalizar su ejecución, los archivos ".bat" se autoeliminan.
  5. Creación de la nota de rescate: con información para la víctima sobre cómo descifrar sus archivos.
  6. Cifrado de los archivos: dependiendo de los privilegios de ejecución del malware, se cifrarán todos los archivos de la máquina, a excepción de los necesarios para el funcionamiento del sistema operativo.
  7. Destrucción de la clave maestra.
  8. Eliminación de información residual: el malware realiza varios ciclos de escritura y borrado del disco, haciendo imposible la recuperación de archivos residuales.

Algoritmo de cifrado de Hive

Hive utiliza un algoritmo propio que utiliza una clave maestra a partir de la cual se generan dos claves de cifrado de flujo que se utilizan para codificar la información.

Los investigadores han descubierto que el algoritmo reutiliza parcialmente estas claves cuando se cifran varios archivos. Esto les ha permitido plantear las ecuaciones para obtener la clave maestra. Para ello sólo se necesita algún fichero original sin cifrar o varios archivos cifrados cuyas firmas sean conocidas, como archivos "pdf", "xlsx" o "hwp".

Si bien aún no se ha publicado ningún software oficial para recuperar la información, sí que se han realizado satisfactoriamente algunas pruebas de concepto.

En el paper publicado por la Universidad pueden consultarse todos los detalles sobre el proceso de descifrado y cómo podría automatizarse.

Fuente: Hispasec

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!