Operator skema ransomware-as-a-service (RaaS) Hive telah merombak perangkat lunak enkripsi file mereka untuk sepenuhnya bermigrasi ke Rust dan mengadopsi metode enkripsi yang lebih canggih.
“Dengan varian terbarunya yang membawa beberapa peningkatan besar, Hive juga membuktikan bahwa itu adalah salah satu keluarga ransomware yang paling cepat berkembang, yang menunjukkan ekosistem ransomware yang terus berubah,” kata Microsoft Threat Intelligence Center (MSTIC) dalam sebuah laporan pada hari Selasa.
Hive, yang pertama kali diamati pada Juni 2021, telah muncul sebagai salah satu grup RaaS paling produktif, terhitung 17 serangan di bulan Mei 2022 saja, bersama Black Basta dan Conti.
Pergeseran dari GoLang ke Rust menjadikan Hive jenis ransomware kedua setelah BlackCat yang ditulis dalam bahasa pemrograman, memungkinkan malware untuk mendapatkan manfaat tambahan seperti keamanan memori dan kontrol lebih dalam atas sumber daya tingkat rendah serta memanfaatkan berbagai dari perpustakaan kriptografi.
Apa yang juga diberikannya adalah kemampuan untuk membuat malware tahan terhadap rekayasa balik, membuatnya lebih mengelak. Selain itu, ia hadir dengan fitur untuk menghentikan layanan dan proses yang terkait dengan solusi keamanan yang dapat menghentikannya.
Hive tidak berbeda dari keluarga ransomware lain karena ia menghapus cadangan untuk mencegah pemulihan, tetapi apa yang berubah secara signifikan dalam varian baru berbasis Rust adalah pendekatannya terhadap enkripsi file.
“Alih-alih menyematkan kunci terenkripsi di setiap file yang dienkripsi, itu menghasilkan dua set kunci dalam memori, menggunakannya untuk mengenkripsi file, dan kemudian mengenkripsi dan menulis set ke root drive yang dienkripsi, keduanya dengan ekstensi .key ,” jelas MSTI.
Untuk menentukan mana dari dua kunci yang digunakan untuk mengunci file tertentu, file terenkripsi diganti namanya untuk menyertakan nama file yang berisi kunci yang kemudian diikuti dengan garis bawah dan string yang disandikan Base64 (misalnya, “C:\myphoto.jpg .l0Zn68cb _ -B82BhIaGhI8”) yang menunjuk ke dua lokasi berbeda dalam file .key yang sesuai.
Temuan itu muncul ketika aktor ancaman di balik ransomware AstraLocker yang kurang dikenal menghentikan operasinya dan merilis alat dekripsi sebagai bagian dari peralihan ke crytojacking, Bleeping Computer melaporkan minggu ini.
Tetapi dalam indikasi bahwa lanskap kejahatan dunia maya terus berubah, para peneliti keamanan dunia maya telah telah menemukan keluarga ransomware baru bernama RedAlert (alias N13V) yang mampu menargetkan server VMWare ESXi Windows dan Linux.