เมื่อไม่นานนี้ได้มีนักวิจัยได้ประกาศว่าพวกเขาสามารถถอดรหัสข้อมูลที่เข้ารหัสด้วย Hive ransomware โดยไม่ต้องใช้ Private Key ที่มัลแวร์สร้างขึ้นเพื่อปลดล็อคเนื้อหา.
"จากการวิเคราะห์กระบวนการเข้ารหัสของ Hive ransomware เรายืนยันว่ามีช่องโหว่โดยใช้อัลกอริธึมการเข้ารหัสของตัวเอง" ตามรายงานที่ตีพิมพ์โดยนักวิจัยจาก Kookmin University ของเกาหลีใต้ "เราได้กู้คืนมาสเตอร์คีย์สำหรับสร้างคีย์เข้ารหัสไฟล์บางส่วน เพื่อเปิดใช้งานการถอดรหัสข้อมูลที่เข้ารหัสโดย Hive ransomware".
ทีมระบุข้อบกพร่องในการเข้ารหัสในกลไกที่แรนซัมแวร์ใช้เพื่อสร้างและจัดเก็บคีย์ Hive ransomware จะเข้ารหัสเฉพาะบางส่วนของเอกสารที่ถูกบุกรุก แทนที่จะเข้ารหัสทั้งไฟล์โดยใช้คีย์สตรีมสองรายการที่มีต้นกำเนิดจากมาสเตอร์คีย์.
Hive ใช้การดำเนินการ XOR บนสองคีย์สตรีมเพื่อสร้างคีย์สตรีมการเข้ารหัส ซึ่งรวมเข้ากับข้อมูลและ XORed ในบล็อกสำรองเพื่อสร้างไฟล์ที่เข้ารหัส แม้ว่าเทคนิคนี้จะได้ผล แต่ก็ยังให้ผู้เชี่ยวชาญคาดเดาคีย์สตรีม กู้คืนมาสเตอร์คีย์ และถอดรหัสเนื้อหาที่เข้ารหัสโดยไม่ต้องใช้ Private Key ของมัลแวร์.
ทีมวิจัยได้คิดค้นวิธีการที่เชื่อถือได้ในการกู้คืนคีย์การเข้ารหัสเกือบทั้งหมดโดยใช้ข้อบกพร่อง “เรากู้คืนมาสเตอร์คีย์ได้ 95% โดยไม่มี Private Key RSA ของผู้โจมตี และถอดรหัสข้อมูลที่ติดไวรัสจริง” กลุ่มนักวิชาการระบุ.
เช่นเดียวกับกลุ่มอาชญากรไซเบอร์อื่นๆ Hive เรียกใช้การดำเนินการ Ransomware-as-a-Service (Raas) ที่ปรับใช้เครื่องมือ เทคนิค และยุทธวิธีต่างๆ เพื่อโจมตีธุรกิจ กรองข้อมูลและเข้ารหัสข้อมูล และเรียกค่าไถ่เพื่อแลกกับการเข้าถึงคีย์ถอดรหัส.
แก๊งค์ดังกล่าวยังมีแผนการกรรโชกสองชั้น โดยผู้กระทำผิดขู่ว่าจะเปิดเผยข้อมูลที่เป็นความลับของเหยื่อบนเว็บไซต์ต่างๆ หากไม่ปฏิบัติตามข้อเรียกร้องของพวกเขา Hive ใช้เทคนิคต่างๆ ในการเจาะเครือข่าย รวมถึงข้อมูลประจำตัว VPN ที่ถูกบุกรุก อีเมลฟิชชิ่ง และเซิร์ฟเวอร์ RDP ที่มีช่องโหว่.
