Το Hive ransomware έχει μετατρέψει τον κρυπτογραφητή VMware ESXi Linux στη γλώσσα προγραμματισμού Rust και έχει προσθέσει νέα χαρακτηριστικά για να δυσκολέψει τους ερευνητές ασφαλείας να παρακολουθούν τις διαπραγματεύσεις για τα λύτρα.
Δείτε επίσης: Το δίκτυο πρατηρίων Rompetrol χτυπήθηκε από το Hive ransomware
Καθώς οι επιχειρήσεις εξαρτόνται όλο και περισσότερο από εικονικές μηχανές για εξοικονόμηση πόρων, ενοποίηση διακομιστών και ευκολότερη δημιουργία αντιγράφων ασφαλείας, οι συμμορίες ransomware δημιουργούν αποκλειστικούς κρυπτογραφητές που εστιάζουν σε αυτές τις υπηρεσίες.
Οι κρυπτογραφητές Linux, στοχεύουν συνήθως τις πλατφόρμες εικονικοποίησης VMware ESXI καθώς είναι οι πιο συχνά χρησιμοποιούμενες στις επιχειρήσεις.
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι
Ενώ η επιχείρηση Hive χρησιμοποιεί έναν κρυπτογραφητή Linux για να στοχεύει διακομιστές VMware ESXi εδώ και αρκετό καιρό, ένα πρόσφατο δείγμα απέδειξε ότι ενημέρωσε τον κρυπτογραφητή της με λειτουργίες που εισήχθησαν για πρώτη φορά από τη λειτουργία ransomware BlackCat/ALPHV.
Όταν οι επιχειρήσεις ransomware επιτίθενται σε ένα θύμα, προσπαθούν να διεξάγουν τις διαπραγματεύσεις τους ιδιωτικά, λέγοντας στα θύματα, ότι εάν δεν πληρωθούν τα λύτρα, τα δεδομένα τους θα δημοσιευτούν και θα υποστούν πλήγμα στη φήμη τους.
Ωστόσο, όταν τα δείγματα ransomwareανεβαίνουν σε δημόσιες υπηρεσίες ανάλυσης κακόβουλου λογισμικού, συνήθως εντοπίζονται από ερευνητές ασφαλείας που μπορούν να εξάγουν το σημείωμα λύτρων και να παρακολουθούν τις διαπραγματεύσεις.
Δείτε ακόμα: Τα BEC scams κοστίζουν στα θύματα περισσότερα από το ransomware
Σε πολλές περιπτώσεις, αυτές οι διαπραγματεύσεις δημοσιεύονται στη συνέχεια στο Twitter και αλλού, με αποτέλεσμα οι διαπραγματεύσεις να αποτύχουν.
Η συμμορία ransomware BlackCat αφαίρεσε τις διευθύνσεις URL των διαπραγματεύσεων Tor από τον κρυπτογράφηση της για να αποτρέψει αυτό το ενδεχόμενο. Αυτή η δυνατότητα εμποδίζει τους ερευνητές που βρίσκουν το δείγμα να ανακτήσουν τη διεύθυνση URL, καθώς δεν περιλαμβάνεται στο εκτελέσιμο αρχείο και μεταβιβάζεται μόνο στο εκτελέσιμο κατά το χρόνο εκτέλεσης.
Σε έναν νέο κρυπτογραφητή Hive Linux που βρέθηκε από τον ερευνητή ασφαλείας του Group-IB, rivitna, η λειτουργία Hive απαιτεί τώρα από τον εισβολέα να παρέχει το όνομα χρήστη και τον κωδικό πρόσβασης σύνδεσης ως επιχείρημα γραμμής εντολών κατά την εκκίνηση του κακόβουλου λογισμικού.
Αντιγράφοντας τις τακτικές της BlackCat, η συμμορία Hive ransomware κατέστησε αδύνατη την ανάκτηση διαπιστευτηρίων σύνδεσης διαπραγματεύσεων από δείγματα κακόβουλου λογισμικού Linux, με τα διαπιστευτήρια να είναι πλέον διαθέσιμα μόνο σε σημειώσεις λύτρων που δημιουργήθηκαν κατά τη διάρκεια της επίθεσης.
«Το Rust επιτρέπει τη λήψη ασφαλέστερου, γρήγορου και αποτελεσματικού κώδικα, ενώ η βελτιστοποίηση κώδικα περιπλέκει την ανάλυση του προγράμματος Rust», δήλωσε ο Rivitna.
Δείτε επίσης: Ποιο ransomware κρυπτογραφεί πιο γρήγορα τα δεδομένα; (σύγκριση 10 παραλλαγών)
Καθώς η κρυπτογράφηση των εικονικών μηχανών VMware ESXi αποτελεί κρίσιμο μέρος μιας επιτυχημένης επίθεσης, οι επιχειρήσεις ransomware εξελίσσουν συνεχώς τον κώδικά τους όχι μόνο για να είναι πιο αποτελεσματικές, αλλά και για να κρατούν μυστικές τις λειτουργίες και τις διαπραγματεύσεις.