Представлен метод восстановления файлов, зашифрованных вымогателем Hive
Группа ученых из южнокрейского университета Кукмин опубликовала доклад, в котором описан метод восстановления файлов, зашифрованных вымогательским ПО Hive.
Проанализировав процесс шифрования Hive, исследователи обнаружили ряд уязвимостей в алгоритме, с помощью которых возможно получить большую часть "мастер-ключа", используемого для шифрования файлов жертв.
Вымогатель Hive шифрует данные с применением XOR-шифрования с произвольным ключевым потоком, разным для каждого файла. Как оказалось, этот рандомный ключевой поток довольно просто угадать.
По словам исследователей, разработанная ими техника позволяет получить примерно 95% "мастер-ключа", но даже без полного ключа возможно восстановить 82%-98% зашифрованных данных.
Hive RaaS (Ransomware-as-a-Service) - одна из наиболее агрессивных партнерских програм, существующих в настоящее время. Список жертв группировки включает медицинские организации и крупные компании, в частности, биофармацевтическую компанию Supernus Pharmaceuticals и сеть магазинов электроники и бытовой техники MediaMarkt.
Hive появилась на кибервымогательской сцене в июне 2021 года после прекращения деятельности ряда группировок, таких как REvil, Darkside, BlackMatter и Avaddon.