Master Key Hive Ransomware Diambil Menggunakan Bug Algoritma Enkripsi
Para peneliti telah merinci apa yang mereka sebut "upaya pertama yang berhasil" dalam mendekripsi data yang terinfeksi ransomware Hive tanpa bergantung pada kunci pribadi yang digunakan untuk mengunci akses ke konten.
"Dengan memanfaatkan kelemahan kriptografi yang ditemukan melalui penelitian, kami dapat mengambil kunci utama untuk memproduksi kunci enkripsi file tanpa kunci pribadi penyerang," kata sekelompok akademisi dari Universitas Kookmin Korea Selatan dalam sebuah artikel baru yang menyelidiki metode enkripsinya.
Hive, seperti organisasi penjahat cyber lainnya, menyediakan ransomware-as-a-service, yang menggunakan berbagai cara untuk melanggar jaringan perusahaan, exfiltrate data, mengenkripsi data pada jaringan, dan mencoba untuk mengumpulkan uang tebusan sebagai imbalan untuk akses ke perangkat lunak dekripsi.
Ini ditemukan untuk pertama kalinya pada Juni 2021, ketika itu mempengaruhi sebuah perusahaan bernama Altus Group. Hive menggunakan sejumlah teknik kompromi awal, seperti server RDP yang lemah, kredensial VPN yang diretas, dan email phishing dengan lampiran berbahaya.
Organisasi ini juga terlibat dalam strategi pemerasan ganda yang semakin menguntungkan, di mana para aktor melampaui enkripsi dengan memeras data korban yang sensitif dan mengancam untuk mengeksposnya di situs Tor mereka, "HiveLeaks."
Menurut perusahaan analisis blockchain Chainalysis, program Hive RaaS telah menyerang setidaknya 355 perusahaan pada 16 Oktober 2021, dengan kelompok tersebut mencapai peringkat kedelapan di antara 10 strain ransomware teratas berdasarkan pendapatan pada tahun 2021.
Operasi destruktif kelompok itu juga telah menyebabkan Biro Investigasi Federal (FBI) di Amerika Serikat untuk menghasilkan laporan Flash yang menjelaskan metodologi serangan, menyoroti bagaimana ransomware membunuh program yang terkait dengan backup, anti-virus, dan penyalinan file untuk mengizinkan enkripsi.
Para peneliti menemukan kelemahan kriptografi dalam teknik yang digunakan untuk memproduksi dan menyimpan kunci master, dengan strain ransomware mengenkripsi hanya bit file daripada konten lengkap menggunakan dua keystream yang berasal dari kunci master.
"Dua keystream dari kunci master diperlukan untuk setiap prosedur enkripsi file," catat para peneliti. Dua keystream dibangun dengan secara acak memilih dua offset dari kunci master dan mengekstraksi 0x100000 byte (1MiB) dan 0x400 byte (1KiB) dari setiap offset, masing-masing.
Keystream enkripsi, yang dibuat dari operasi XOR dari dua keystreams, kemudian XORed dengan data dalam blok alternatif untuk menghasilkan file terenkripsi. Tetapi teknik ini juga memungkinkan untuk menebak keystreams dan mengembalikan kunci master, pada gilirannya memungkinkan decode file terenkripsi tanpa kunci pribadi penyerang.
Menurut para peneliti, mereka mampu mempersenjatai masalah ini dan merancang mekanisme untuk mengambil lebih dari 95 persen kunci yang digunakan selama enkripsi dengan andal.
"Kunci utama pulih 92 persen berhasil mendekripsi sekitar 72 persen dari file," kata para peneliti. Kunci master dipulihkan 96 persen berhasil mendekripsi sekitar 82 persen dari file, dan kunci master dipulihkan 98 persen berhasil mendekripsi sekitar 98 persen dari file.