Cuatro investigadores de la Universidad de Kookmin en Corea del Sur descubren una vulnerabilidad en el algoritmo de cifrado del ransomware que permite obtener la clave maestra y recuperar la información secuestrada.
Hive es una familia de ransomware relativamente reciente. Los primeros ataques se notificaron en junio del 2021 y a pesar de que Hive lleva poco tiempo entre nosotros, está considerada una de las familias más lucrativas del pasado año.
Esto puede ser explicado por una técnica de extorsión muy agresiva que aplica el malware. A diferencia de los ransomware habituales que sólo cifran los archivos, éste realiza una «doble extorsión»: por un lado la información queda secuestrada gracias al cifrado que aplica a los archivos de la víctima. Por otro, el malware amenaza a las víctimas con publicar la información robada en su página pública HiveLeaks.
Como viene siendo habitual, el malware y su infraestructura es ofrecido como servicio (Ransomware-as-a-Service).
El grupo utiliza una variedad de ataques para su propagación: campañas de malspam, servidores RDP vulnerados o credenciales VPN comprometidas entre otros.
La noticia que nos trae hoy aquí, es que cuatro investigadores de la Universidad de Corea del sur han conseguido un método para descifrar la información secuestrada por el malware.
Giyoon Kim, Soram Kim, Soojin Kang y Jongsung Kim se desarrollan en los campos de la seguridad de la información y la criptografía matemática. En su paper explican el funcionamiento del algoritmo de cifrado del ransomware y cómo han logrado recuperar la clave maestra:
Funcionamiento del ransomware
- Generación de clave maestra: Hive genera 10MiB de información aleatoria que será utilizada como clave maestra y como flujo de claves para cifrar los datos.
- Cifrado de la clave maestra: la clave maestra se cifra utilizando una clave pública RSA-2048-OAEP que está fija en la muestra. La clave cifrada ‘base64url_MD5_de_la_clave_maestra.key.hive’ se almacena en ‘C:\‘ si el ransomware tiene privilegios de administrador o en ‘C:\Users\\AppData\Local\VirtualStore‘ en caso contrario.
- Para dificultar la recuperación de alguna información se paran los procesos y servicios que puedan estar en ejecución: mspub, msdesktop, bmr, sql, oracle, postgres, redis, vss, backup, sstp
- Creación de ficheros batch: se generan los ficheros ‘hive.bat‘ y ‘shadow.bat‘, que tienen como objetivo la eliminación evidencias y de posibles copias de seguridad respectivamente. Tras finalizar su ejecución, los ficheros ‘.bat‘ se autoeliminan.
- Creación de la nota de rescate: con información para la víctima sobre cómo descifrar sus archivos.
- Cifrado de los ficheros: dependiendo de los privilegios de ejecución del malware, se cifrarán todos los ficheros de la máquina, a excepción de los necesarios para el funcionamiento del sistema operativo.
- Destrucción de la clave maestra.
- Eliminación de información residual: el malware realiza varios ciclos de escritura y borrado del disco, haciendo imposible la recuperación de archivos residuales.
Algoritmo de cifrado de Hive
Hive utiliza un algoritmo propio que utiliza una clave maestra a partir de la cual se generan dos claves de cifrado de flujo que se utilizan para codificar la información.
Los investigadores han descubierto que el algoritmo reutiliza parcialmente estas claves cuando se cifran varios ficheros. Esto les ha permitido plantear las ecuaciones para obtener la clave maestra. Para ello sólo se necesita algún fichero original sin cifrar o varios ficheros cifrados cuyas firmas sean conocidas, como archivos ‘pdf’, ‘xlsx’ o ‘hwp’.
Si bien aún no se ha publicado ningún software oficial para recuperar la información, sí que se han realizado satisfactorialmente algunas pruebas de concepto.
En el paper publicado por la Universidad pueden consultarse todos los detalles sobre el proceso de descifrado y cómo podría automatizarse.
Más información:
A Method for Decrypting Data Infected with Hive
Ransomware
Deja una respuesta