مفتاح (Master for Hive Ransomware) المسترجع باستخدام عيب في خوارزمية التشفير

قام الباحثون بتفصيل ما يسمونه “المحاولة الناجحة الأولى” في فك تشفير البيانات المصابة بالصديق الخلوي دون الاعتماد على المفتاح الخاص المستخدم لقفل الوصول إلى المحتوى. وقالت مجموعة من الأكاديميين من جامعة كوكمان الكورية الجنوبية في ورقة جديدة تحلل عملية تشفيرها: “تمكنا من استعادة المفتاح الرئيسي لتوليد مفتاح تشفير الملفات دون المفتاح الخاص للمهاجمين، باستخدام ضعف التشفير المحدد من خلال التحليل”.

تدير الخلية، مثل مجموعات الإنترنت الإلكترونية الأخرى، خدمة فدية(-A-A-A-A-A-A-A-Acciles) مختلفة لشبكات الأعمال، والبيانات (Exfiltrate)، وتشفير البيانات على الشبكات، ومحاولة جمع فدية في مقابل الوصول إلى برنامج فك التشفير.

وقد لوحظ لأول مرة في يونيو 2021، عندما ضربت شركة تسمى مجموعة ألتوس (Altus) خلية ترفع مجموعة متنوعة من طرق التسوية الأولية، بما في ذلك خوادم (RDP) الضعيفة، وبيانات اعتماد (VPN) للخطر، وكذلك رسائل البريد الإلكتروني الخداعية مع المرفقات الضارة.

تقوم المجموعة أيضًا بمخطط مربح بشكل متزايد من الابتزاز المزدوج، حيث تتجاوز الجهات الفاعلة مجرد تشفير من خلال إفراز بيانات الضحايا الحساسة والتهديد بتسرب المعلومات الموجودة على موقع تور.

اعتبارا من 16 أكتوبر 2021، قام برنامج (Hive Raas) بضرورة ضحية ما لا يقل عن 355 شركة، مع تأمين المجموعة الثامنة بين أفضل 10 سلالات فدية من خلال الإيرادات في عام 2021، وفقا لما ذكرته شركة (chainalysis Companytics Inclalytics). كما دفعت الأنشطة الضارة المرتبطة بالمجموعة إلى مكتب التحقيقات الفيدرالي الأمريكي (FBI) لإطلاق تقرير فلاش تفصيلي بتفصيل طريقة عمل الهجمات، مشيرا إلى كيفية إنهاء العمليات المتعلقة بالعمليات المتعلقة بالنسخ الاحتياطية ومكافحة الفيروسات ونسخ الملفات لتسهيل التشفير.

يتعلق ضعف التشفير الذي حدده الباحثون من الآلية التي يتم بها إنشاء المفاتيح الرئيسية، مع إجهاد الفدية تشفير أجزاء مختارة فقط من الملف بدلا من المحتويات بأكملها باستخدام اثنين من المفاتيح المستمدة من المفتاح الرئيسي. وأوضح الباحثون أن ‘لكل عملية تشفير الملفات، مطلوبة اثنين من المفاتيح من المفتاح الرئيسي “. كما يتم إنشاء مفاتيح ضغطتين عن طريق تحديد إزاحة عشوائية من المفتاح الرئيسي واستخراج 0x100000  بايت (1Mib) و 0x400  بايت (1Kib) من الإزاحة المحددة، على التوالي. ويتم بعد ذلك (XORT Kytstream) المشفر، الذي تم إنشاؤه من تشغيل (XOR) لـ(Keystreams)، مع البيانات في كتل بديلة لإنشاء الملف المشفر. ولكن هذه التقنية تجعل من الممكن تخمين المفاتيح واستعادة المفتاح الرئيسي، بدوره مما يتيح فك شفافة الملفات المشفرة من المفتاح الخاص للمهاجم. وقال الباحثون إنهم كانوا قادرين على تسليح الخلل لوضع طريقة لاسترداد أكثر من 95٪ من المفاتيح المستخدمة أثناء التشفير. ونجح المفتاح الرئيسي بنسبة 92٪ في فك تشفير حوالي 72٪ من الملفات، كما نجح المفتاح الرئيسي بنسبة 96٪ في فك تشفير ما يقرب من 82٪ من الملفات، واستعاد المفتاح الرئيسي 98٪ في فك تشفير حوالي 98٪ من الملفات.

المصدرhttp://Thehackernews.com