研究人员详细介绍了他们所谓的“首次成功尝试”,即在不依赖用于锁定访问内容的私钥的情况下解密受Hive勒索软件感染的数据。在一篇剖析其加密过程的新论文中,韩国国民大学的一组学者表示:“通过使用通过分析确定的加密漏洞,可以在没有攻击者私有的情况下恢复生成文件加密密钥的主密钥钥匙。。”与其他网络犯罪集团一样,Hive运营着一种勒索软件即服务,它使用不同的机制来破坏业务网络、泄露和加密网络上的数据,并试图收集赎金以换取对解密软件的访问权限。它是第一个在2021年6月观察到,当时它攻击了一家名为AltusGroup的公司。Hive使用了几种初始攻击方法,包括易受攻击的RDP服务器、泄露的VPN凭据和带有恶意附件的网络钓鱼电子邮件。该组织还运行了越来越有利可图的双重勒索计划,其中攻击者不仅加密,还泄露了敏感的受害者数据,并威胁要在其Tor网站“HiveLeaks”上泄露信息。根据区块链分析公司Chainalysis的数据,截至2021年10月16日,HiveRaaS已使至少355家公司受害,该组织排名第八2021年收入排名前十的勒索软件品种之一。与该组织相关的恶意活动也促使FBI发布了一份详细报告了解攻击的作案手法,注意勒索软件如何终止与备份、防病毒和文件复制相关的进程以促进加密。研究人员发现的加密漏洞涉及主密钥的生成和存储机制,勒索软件使用从主密钥派生的两个密钥流仅加密文件的选定部分,而不是全部内容。“对于每个文件加密过程,都需要来自主密钥的两个密钥流,方法是从主密钥中选择两个随机偏移量并分别从所选偏移量中提取0x100000,”研究人员解释说。字节(1MiB)和0x400字节(1KiB)来创建两个密钥流。”从两个密钥流的XOR操作创建的加密密钥流然后与交替块中的数据进行异或以生成加密文件。但这种技术也可以猜测密钥流并恢复主密钥,允许在没有攻击者私钥的情况下对加密文件进行解码研究人员表示,他们能够利用该漏洞设计出一种可靠地恢复加密过程中使用的95%以上密钥的方法。"恢复92%的主密钥成功解密约72%的文件,恢复96%的主密钥成功解密约82%的文件,恢复98%的主密钥成功解密约98%的文件,”研究人员说。“
