Investigador desarrolla herramienta de descifrado del ransomware Hive

A pesar de tener solo un año, el ransomware Hive se ha convertido en un destacado operador de RaaS. El descifrador aborda la versión más nueva de Hive. Un investigador de malware conocido como “reecDeep” desarrollo, y luego publicó en Github, una herramienta de descifrado la última versión del ransomware Hive. Publicada el martes, la […]

A pesar de tener solo un año, el ransomware Hive se ha convertido en un destacado operador de RaaS. El descifrador aborda la versión más nueva de Hive.

Un investigador de malware conocido como “reecDeep” desarrollo, y luego publicó en Github, una herramienta de descifrado la última versión del ransomware Hive.

Publicada el martes, la herramienta descifra específicamente la variante de la versión 5 del ransomware.

Hive se escribió originalmente en el lenguaje de programación Go, pero recientemente los autores la cambiaron a Rust, un lenguaje que tiene una tecnología de cifrado superior, y es más difícil de aplicarle ingeniería inversa.

Este cifrador de archivos funciona como RaaS (ransomware a servicio). Apenas se puso en marcha cobró cientos de víctimas. El año pasado, fue el responsable de comprometer al minorista europeo MediaMarkt y supuestamente incluyó una demanda de 240 millones de dólares. A principios de este año, Hive reclamó un ataque contra el proveedor de Medicaid Partnership HealthPlan of California.

Según la página de GitHub de la herramienta de descifrado, reecDeep lo desarrolló con un compañero investigador de malware anónimo, conocido como “rivitna”. La publicación incluye detalles técnicos de cómo funciona Hive v5 y cómo los investigadores desarrollaron su herramienta de descifrado de fuerza bruta.

“Tuve el placer de colaborar con un gran analista de malware e ingeniero inverso @rivitna que en el pasado analizó versiones anteriores de Hive y publicó código y PoC con respecto a sus mecanismos de encriptación”, escribió reecDeep en la publicación de GitHub. “Ha contribuido (no poco) a identificar los componentes involucrados en las operaciones de cifrado de Hive v5, que al estar escrito en Rust se ha vuelto más difícil de analizar”.

Cuando se le preguntó acerca de la compatibilidad entre el descifrador y varias actualizaciones v5, reecDeep le dijo a SearchSecurity a través de un mensaje directo de Twitter que, si bien no ha confirmado completamente, “hasta donde yo sé, actualizaciones menores de la versión principal 5, (5.1, 5.2 y así sucesivamente) no tienen ninguna mejora en los algoritmos de encriptación”.

ReecDeep también dijo que v5 “no tiene nada que ver con las versiones anteriores de Hive 1-4”, que fueron escritas en el lenguaje de programación Go.

A principios de este mes, el Centro de inteligencia de amenazas de Microsoft publicó una publicación de blog que detalla la evolución reciente de Hive. La publicación lo describía como “una de las cargas útiles de ransomware más frecuentes en el ecosistema de ransomware como servicio (RaaS)”.

Los operadores de RaaS como Hive también se han vuelto más frecuentes y son uno de los aspectos clave que definen el ransomware en 2022, junto con políticas de seguro cibernético más estrictas y tácticas de extorsión emergentes.