BlackCat und Hive jetzt auf Rust

Sicherheitsforscher von Microsoft haben neue Varianten der ein Jahr alten Ransomware Hive entdeckt, die in der Programmiersprache Go geschrieben wurde, jetzt aber in Rust neu programmiert wurde. Hive tauchte im Juni 2021 auf und wurde zwei Monate später vom FBI in einer Warnung bekannt gemacht. Im November wurde auch der Elektronikhandelsriese MediaMarkt von Hive heimgesucht. Es handelt sich um eine weitere Ransomware-as-a-Service (RaaS)-Erpresserbande, die es in letzter Zeit auf anfällige Microsoft Exchange Server, anfällige RDP-Server, kompromittierte VPN-Anmeldedaten und Phishing abgesehen hat, um ihre Ransomware zu verbreiten und vertrauenswürdige Informationen zu stehlen.

Die Rust-Migration von Hive ist seit einigen Monaten im Gange, da das Unternehmen Lehren aus der BlackCat-Ransomware gezogen hat, die ebenfalls in Rust geschrieben wurde. Über BleepingComputer fanden Forscher der Group-IB im März heraus, dass Hive seinen Linux-Verschlüsseler (für VMware ESXi-Server) auf Rust umgestellt hatte, um es Sicherheitsforschern zu erschweren, die Lösegeldgespräche mit den Opfern auszuspähen.

Die Analyse von Microsoft zeigt, dass die Rust-Umstellung von Hive viel umfassender ist, unterstreicht aber die Bedeutung der im März festgestellten Änderung der Verschlüsselungsmethoden.

„Die Upgrades in der neuesten Variante [von Hive] sind praktisch eine Generalüberholung: Die bemerkenswertesten Änderungen umfassen eine vollständige Migration des Codes zu einer anderen Programmiersprache und die Verwendung einer komplexeren Verschlüsselungsmethode“, so das Microsoft Threat Intelligence Center (MSTIC) in einem Blogpost.

„Die Auswirkungen dieser Updates sind weitreichend, wenn man bedenkt, dass Hive eine RaaS-Nutzlast ist, die Microsoft bei Angriffen auf Organisationen im Gesundheitswesen und in der Softwarebranche durch große Ransomware-Ableger wie DEV-0237 beobachtet hat.“

Microsoft listet die wichtigsten Vorteile von Rust gegenüber anderen Sprachen auf, die es zu einer der begehrtesten Sprachen unter Programmierern machen, wie z.B. die bessere Speichersicherheit und die gute Unterstützung von Krypto-Bibliotheken.

Die Vorteile des Umstiegs auf Rust für Hive sind laut Microsoft folgende:

Es bietet Speicher-, Datentyp- und Thread-Sicherheit

Tiefe Kontrolle über Low-Level-Ressourcen

Es hat eine benutzerfreundliche Syntax

Mehrere Mechanismen für Gleichzeitigkeit und Parallelität, die eine schnelle und sichere Dateiverschlüsselung ermöglichen

Es hat eine große Auswahl an kryptographischen Bibliotheken

Es ist relativ schwierig, ein Reverse-Engineering durchzuführen.

Microsoft stellte fest, dass sich die neue Lösegeldforderung von der in älteren Varianten verwendeten unterscheidet. Die neue Notiz weist die Opfer an: „Löschen Sie VMs nicht und installieren Sie sie nicht neu. Es wird nichts zu entschlüsseln sein“ und „Ändern, benennen oder löschen Sie keine *.key-Dateien. Ihre Daten werden nicht entschlüsselt werden können. Die *.key-Dateien sind die Dateien, die Hive verschlüsselt hat.

Die interessanteste Änderung an Hive war der neue Verschlüsselungsmechanismus, der Ende Februar eingeführt wurde, wenige Tage nachdem Forscher der Kookmin University in Südkorea das Papier „A Method for Decrypting Data Infected with Hive Ransomware“ veröffentlicht hatten. Die Forscher konnten 95 % des Hauptschlüssels ohne den privaten RSA-Schlüssel von Hive wiederherstellen und dann die Daten entschlüsseln.

Hive verfolgte auch einen einzigartigen Ansatz zur Dateiverschlüsselung. „Anstatt einen verschlüsselten Schlüssel in jede verschlüsselte Datei einzubetten, generiert er zwei Schlüsselsätze im Speicher, verwendet sie zur Verschlüsselung von Dateien, verschlüsselt sie und schreibt die Sätze in das Stammverzeichnis des verschlüsselten Laufwerks, beide mit der Erweiterung .key“, so Microsoft.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

11 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

12 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

19 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago