Hive: ransomware in Rust con nuova crittografia
Topic
Approfondimenti
Trending
tutti

Hive: ransomware in Rust con nuova crittografia

Microsoft ha scoperto una nuova versione del ransomware Hive scritta in linguaggio Rust che usa algoritmi di crittografia più complessi e robusti.
Hive: ransomware in Rust con nuova crittografia
Sicurezza Antivirus Antivirus
Microsoft ha scoperto una nuova versione del ransomware Hive scritta in linguaggio Rust che usa algoritmi di crittografia più complessi e robusti.
Unsplash

Come ogni software anche i ransomware vengono aggiornati dai loro autori. Microsoft ha scoperto una nuova versione di Hive (noto in Italia per l’attacco contro Trenitalia di fine marzo) scritta in Rust, un linguaggio di programmazione che offre diversi vantaggi rispetto agli altri. È stata inoltre utilizzato un tipo di crittografia più robusta. L’azienda di Redmond ha pubblicato un post per descrivere le novità e suggerire le misure da attuare per evitare l’infezione.

Hive in Rust con crittografia aggiornata

Hive è un ransomware piuttosto “giovane”, essendo comparso online circa un anno fa, ma ha già causato parecchi danni. La nuova variante individuata da Microsoft è stata scritta in Rust (le precedenti erano scritte in Go), come BlackCat. Tra i vantaggi di Rust ci sono un maggiore controllo delle risorse di basso livello, meccanismi di concorrenza e parallelismo che velocizzano la cifratura dei file, reverse engineering più difficile.

La nuova versione offre inoltre una maggiore flessibilità ai cybercriminali, in quanto è possibile aggiungere e rimuovere funzionalità tramite linea di comando (ad esempio se cifrare anche i file dei drive condivisi in rete o solo quelli locali). Hive ferma processi e servizi delle soluzioni di sicurezza e cancella i backup per impedire il ripristino del sistema.

La novità più interessante è il meccanismo di crittografia. La nuova variante usa gli algoritmi Elliptic Curve Diffie-Hellman con Curve25519 e XChaCha20-Poly1305. Lo schema di cifratura è molto complesso, come si può vedere nell’immagine:

Hive - schema di cifratura

Prima di avviare la cifratura multi-thread, il ransomware verifica se nome ed estensione del file sono presenti in un elenco. In caso di corrispondenza, il file non viene cifrato. Al termine viene mostrato un file di testo con le istruzioni da seguire per il pagamento del riscatto (la vittima deve accedere ad un sito .onion tramite browser Tor).

Per ridurre al minimo i rischi è consigliata l’installazione di una soluzione di sicurezza. È sufficiente anche Microsoft Defender, ma sul mercato ci sono prodotti più avanzati, come quelli di Bitdefender.

Fonte: Microsoft

Pubblicato il 6 lug 2022

Link copiato negli appunti

Ti potrebbe interessare

Microsoft Exchange: server attaccati da Hive

Microsoft Exchange: server attaccati da Hive
Trenitalia: l'attacco di Hive, riscatto milionario

Trenitalia: l'attacco di Hive, riscatto milionario
BlackCat: attacco ransomware contro server Exchange

BlackCat: attacco ransomware contro server Exchange
Formula 1: come vedere il GP Cina dall'estero in streaming

Formula 1: come vedere il GP Cina dall'estero in streaming
Microsoft Exchange: server attaccati da Hive

Microsoft Exchange: server attaccati da Hive
Trenitalia: l'attacco di Hive, riscatto milionario

Trenitalia: l'attacco di Hive, riscatto milionario
BlackCat: attacco ransomware contro server Exchange

BlackCat: attacco ransomware contro server Exchange
Formula 1: come vedere il GP Cina dall'estero in streaming

Formula 1: come vedere il GP Cina dall'estero in streaming
Luca Colantuoni
Pubblicato il
6 lug 2022
Link copiato negli appunti