BlackCat und Hive jetzt auf Rust

Sicherheitsforscher von Microsoft haben neue Varianten der ein Jahr alten Ransomware Hive entdeckt, die in der Programmiersprache Go geschrieben wurde, jetzt aber in Rust neu programmiert wurde. Hive tauchte im Juni 2021 auf und wurde zwei Monate später vom FBI in einer Warnung bekannt gemacht. Im November wurde auch der Elektronikhandelsriese MediaMarkt von Hive heimgesucht. Es handelt sich um eine weitere Ransomware-as-a-Service (RaaS)-Erpresserbande, die es in letzter Zeit auf anfällige Microsoft Exchange Server, anfällige RDP-Server, kompromittierte VPN-Anmeldedaten und Phishing abgesehen hat, um ihre Ransomware zu verbreiten und vertrauenswürdige Informationen zu stehlen.

Die Rust-Migration von Hive ist seit einigen Monaten im Gange, da das Unternehmen Lehren aus der BlackCat-Ransomware gezogen hat, die ebenfalls in Rust geschrieben wurde. Über BleepingComputer fanden Forscher der Group-IB im März heraus, dass Hive seinen Linux-Verschlüsseler (für VMware ESXi-Server) auf Rust umgestellt hatte, um es Sicherheitsforschern zu erschweren, die Lösegeldgespräche mit den Opfern auszuspähen.

Die Analyse von Microsoft zeigt, dass die Rust-Umstellung von Hive viel umfassender ist, unterstreicht aber die Bedeutung der im März festgestellten Änderung der Verschlüsselungsmethoden.

„Die Upgrades in der neuesten Variante [von Hive] sind praktisch eine Generalüberholung: Die bemerkenswertesten Änderungen umfassen eine vollständige Migration des Codes zu einer anderen Programmiersprache und die Verwendung einer komplexeren Verschlüsselungsmethode“, so das Microsoft Threat Intelligence Center (MSTIC) in einem Blogpost.

„Die Auswirkungen dieser Updates sind weitreichend, wenn man bedenkt, dass Hive eine RaaS-Nutzlast ist, die Microsoft bei Angriffen auf Organisationen im Gesundheitswesen und in der Softwarebranche durch große Ransomware-Ableger wie DEV-0237 beobachtet hat.“

Microsoft listet die wichtigsten Vorteile von Rust gegenüber anderen Sprachen auf, die es zu einer der begehrtesten Sprachen unter Programmierern machen, wie z.B. die bessere Speichersicherheit und die gute Unterstützung von Krypto-Bibliotheken.

Die Vorteile des Umstiegs auf Rust für Hive sind laut Microsoft folgende:

Es bietet Speicher-, Datentyp- und Thread-Sicherheit

Tiefe Kontrolle über Low-Level-Ressourcen

Es hat eine benutzerfreundliche Syntax

Mehrere Mechanismen für Gleichzeitigkeit und Parallelität, die eine schnelle und sichere Dateiverschlüsselung ermöglichen

Es hat eine große Auswahl an kryptographischen Bibliotheken

Es ist relativ schwierig, ein Reverse-Engineering durchzuführen.

Microsoft stellte fest, dass sich die neue Lösegeldforderung von der in älteren Varianten verwendeten unterscheidet. Die neue Notiz weist die Opfer an: „Löschen Sie VMs nicht und installieren Sie sie nicht neu. Es wird nichts zu entschlüsseln sein“ und „Ändern, benennen oder löschen Sie keine *.key-Dateien. Ihre Daten werden nicht entschlüsselt werden können. Die *.key-Dateien sind die Dateien, die Hive verschlüsselt hat.

Die interessanteste Änderung an Hive war der neue Verschlüsselungsmechanismus, der Ende Februar eingeführt wurde, wenige Tage nachdem Forscher der Kookmin University in Südkorea das Papier „A Method for Decrypting Data Infected with Hive Ransomware“ veröffentlicht hatten. Die Forscher konnten 95 % des Hauptschlüssels ohne den privaten RSA-Schlüssel von Hive wiederherstellen und dann die Daten entschlüsseln.

Hive verfolgte auch einen einzigartigen Ansatz zur Dateiverschlüsselung. „Anstatt einen verschlüsselten Schlüssel in jede verschlüsselte Datei einzubetten, generiert er zwei Schlüsselsätze im Speicher, verwendet sie zur Verschlüsselung von Dateien, verschlüsselt sie und schreibt die Sätze in das Stammverzeichnis des verschlüsselten Laufwerks, beide mit der Erweiterung .key“, so Microsoft.