İlk olarak Haziran 2021'de görülen Hive fidye yazılımı, bu kez benzeri görülmemiş bir biçimde yeniden yayılmaya başladı. Önceki sürümlerinde Golang'ı kullanan Hive geliştiricileri, programlama dili seçimini 2021'de Rust'a kaydırmış gibi görünüyor. Yeni versiyonları.Bu tercihin en önemli nedeni Rust dilinin tersine mühendislik çalışmalarını oldukça zorlaştırmasıdır.Rust dilinin kullanılması sonucunda fidye yazılımının fonksiyonlarının boyutu oldukça büyük seviyelere çıkmaktadır.Analist çok daha fazla para harcamaktadır. Saldırılan her hedef için farklı kullanıcı adı ve şifre bilgileriyle çalışan yeni Hive sürümü, bu taktiği BlackCat fidye yazılımı grubundan almış gibi görünüyor. Daha önce fidye yazılımı bu bilgiyi kendi içinde saklamıştı. Bu sürümde, kullanıcı adı ve şifre bilgileri, kötü amaçlı yazılımın içine gömülmek yerine, kötü amaçlı yazılıma parametre olarak verilmektedir. Bu yaklaşım sayesinde, kötü amaçlı yazılımı alan analistler, hedefin nerede olduğunu bulamıyor.
Programlama dilindeki değişikliğin yanı sıra, Hive ekibi Golang'da yazdıkları fidye yazılımının izini sürüyor gibi görünüyor. Hive ilk çalıştırıldığında öncelikle yetki seviyesini yükseltiyor. Bunu yapabilmek için de denemeler yapıyor Sistemde çalışan yüksek yetki düzeyine sahip bazı işlemlerin yetki düzeyini çalmak ve daha sonra sistem üzerinde çalışan bazı hizmet ve programları durdurmak.
Dosya sistemi Windows API aracılığıyla taranıyor
Bu durdurma işlemi sayesinde Hive'ın bazı anti-malware uygulamalarına yakalanmasının ve sistemde şifrelenmesi durumunda kayba yol açmasının önüne geçmek mümkündür. Bazı işlemler durdurulmuştur. Bu işlemler çalışıyorsa Bu durumda Hive, şifrelemek istediği dosyalara erişemeyecektir, dolayısıyla dosya sistemini taramaya başlamadan önce bu programları durdurur. İşlem sırasında kullanılmak üzere ana anahtar dosyaları oluşturulur. Ardından, sistemdeki sabit ve çıkarılabilir diskler Aynı zamanda parametre ile belirtilmesi halinde sistemde aktif olan ağ paylaşım dizinlerini de tarar.
Sunucuya gönderilecek dosyaların uzantıları sızıntı tehlikesine karşı kontrol ediliyor
Dosya sistemini keşfeden Hive, Go'nun önceki sürümüne benzer şekilde belirli kriterleri karşılayan dosyaları şifreler. Bu şifreleme işlemi sırasında sql, txt, rtf, doc, xls gibi değerli bilgiler içerebilecek bazı dosyalar Bu şekilde Hive fidye yazılımı aktörleri, hedefin fidyeyi ödememesi durumunda değerli bilgilerin sızmasını bir tehdit olarak kullanır.
Son adım
Hive, diğer birçok fidye yazılımının yaptığı gibi, dosya kurtarmayı zorlaştırmak için sistemde bazı komutlar çalıştırarak dosyaları ve sistem yedeklemelerini siler. Son olarak, bir not defteri uygulaması açar ve hedefin anlayabilmesi için fidye mesajını görüntüler. sistem şifrelendi.
Hive Fidye Yazılımı C&C Sunucu Listesi
http://209.133.223.69/
http://37.72.172.110/
http://23.227.190.216/