• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Un fallo en el algoritmo de cifrado del ransomware Hive permite recuperar la información secuestrada

Un fallo en el algoritmo de cifrado del ransomware Hive permite recuperar la información secuestrada

26 febrero, 2022 Por Francisco Salido Dejar un comentario

Cuatro investigadores de la Universidad de Kookmin en Corea del Sur descubren una vulnerabilidad en el algoritmo de cifrado del ransomware que permite obtener la clave maestra y recuperar la información secuestrada.

Hive es una familia de ransomware relativamente reciente. Los primeros ataques se notificaron en junio del 2021 y a pesar de que Hive lleva poco tiempo entre nosotros, está considerada una de las familias más lucrativas del pasado año.

Esto puede ser explicado por una técnica de extorsión muy agresiva que aplica el malware. A diferencia de los ransomware habituales que sólo cifran los archivos, éste realiza una «doble extorsión»: por un lado la información queda secuestrada gracias al cifrado que aplica a los archivos de la víctima. Por otro, el malware amenaza a las víctimas con publicar la información robada en su página pública HiveLeaks.

Empresa afectada por Hive

Como viene siendo habitual, el malware y su infraestructura es ofrecido como servicio (Ransomware-as-a-Service).

Acceso al panel de admistración de Hive

El grupo utiliza una variedad de ataques para su propagación: campañas de malspam, servidores RDP vulnerados o credenciales VPN comprometidas entre otros.

La noticia que nos trae hoy aquí, es que cuatro investigadores de la Universidad de Corea del sur han conseguido un método para descifrar la información secuestrada por el malware.

Giyoon Kim, Soram Kim, Soojin Kang y Jongsung Kim se desarrollan en los campos de la seguridad de la información y la criptografía matemática. En su paper explican el funcionamiento del algoritmo de cifrado del ransomware y cómo han logrado recuperar la clave maestra:

Funcionamiento del ransomware

Flujo de funcionamiento de Hive
  1. Generación de clave maestra: Hive genera 10MiB de información aleatoria que será utilizada como clave maestra y como flujo de claves para cifrar los datos.
  2. Cifrado de la clave maestra: la clave maestra se cifra utilizando una clave pública RSA-2048-OAEP que está fija en la muestra. La clave cifrada ‘base64url_MD5_de_la_clave_maestra.key.hive’ se almacena en ‘C:\‘ si el ransomware tiene privilegios de administrador o en ‘C:\Users\\AppData\Local\VirtualStore‘ en caso contrario.
  3. Para dificultar la recuperación de alguna información se paran los procesos y servicios que puedan estar en ejecución: mspub, msdesktop, bmr, sql, oracle, postgres, redis, vss, backup, sstp
  4. Creación de ficheros batch: se generan los ficheros ‘hive.bat‘ y ‘shadow.bat‘, que tienen como objetivo la eliminación evidencias y de posibles copias de seguridad respectivamente. Tras finalizar su ejecución, los ficheros ‘.bat‘ se autoeliminan.
  5. Creación de la nota de rescate: con información para la víctima sobre cómo descifrar sus archivos.
  6. Cifrado de los ficheros: dependiendo de los privilegios de ejecución del malware, se cifrarán todos los ficheros de la máquina, a excepción de los necesarios para el funcionamiento del sistema operativo.
  7. Destrucción de la clave maestra.
  8. Eliminación de información residual: el malware realiza varios ciclos de escritura y borrado del disco, haciendo imposible la recuperación de archivos residuales.

Algoritmo de cifrado de Hive

Hive utiliza un algoritmo propio que utiliza una clave maestra a partir de la cual se generan dos claves de cifrado de flujo que se utilizan para codificar la información.

Los investigadores han descubierto que el algoritmo reutiliza parcialmente estas claves cuando se cifran varios ficheros. Esto les ha permitido plantear las ecuaciones para obtener la clave maestra. Para ello sólo se necesita algún fichero original sin cifrar o varios ficheros cifrados cuyas firmas sean conocidas, como archivos ‘pdf’, ‘xlsx’ o ‘hwp’.

Si bien aún no se ha publicado ningún software oficial para recuperar la información, sí que se han realizado satisfactorialmente algunas pruebas de concepto.

En el paper publicado por la Universidad pueden consultarse todos los detalles sobre el proceso de descifrado y cómo podría automatizarse.

Más información:

A Method for Decrypting Data Infected with Hive
Ransomware

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Malware en Android

Machine Learning aplicado a Ciberseguridad

Open Source INTelligence (OSINT)

Archivado en: Ataques, Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Empleados de empresas de fusiones y adquisiciones, nuevo "target" de los Ciberdelincuentes.

Entradas recientes

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...