エグゼクティブサマリー
Menlo Labsの研究チームは最近、Hiveランサムウェア集団とその被害者数名との間の通信を分析しました。Hive は比較的新しいランサムウェア・アズ・ア・サービス (RaaS) グループであり、事業を開始したのは今年が最初かもしれませんが、その攻撃的な戦術により、この分野では手ごわい敵となっています。
ハイブは2021年6月に初めて登場しました。その年の大半はReVilなどの大規模なランサムウェアオペレーターによって支配されていましたが、Hiveは2021年11月にヨーロッパ最大の家電小売業者であるMedia Marktを攻撃しました。それ以来、Hiveのランサムウェア攻撃の被害者数は、アフィリエイトプログラムの開始から1年も経たないにもかかわらず、数百人に急増しました。Hiveの被害に遭った組織の大半は米国の組織で、主にITと不動産関連の企業です。
このRaaSプログラムは、Hiveオペレーターが対象組織に緊急の圧力をかける方法を使用するなど、より積極的なプログラムの1つです。Hive は、脆弱な RDP サーバー、侵害された VPN 認証情報、Cobalt Strike ペイロードを含む悪意のある添付ファイルが添付されたフィッシングメールなど、さまざまな初期侵害方法を使用します。
ログイン後のネットワークアクティビティの一部を調べたところ、被害者が侵害された後に固有の識別子が割り当てられていることがわかりました。いったん侵害されると、標的のデータは多くの場合、勤務時間外や週末に暗号化されます。
暗号化後、ターゲットに関する情報は、ディープウェブでホストされているHiveのデータ漏洩サイト(DLS)に表示されます。Web サイトへのリンク、ログイン情報およびパスワード情報、および Hive の「営業部」への連絡方法が記載された身代金要求メモが自動的に生成されます。ログインすると、被害者と Hive 管理者の間でライブチャットが開始され、被害者が復号化ツールとその使用方法のガイドを受け取るために、通常はビットコインの形式で身代金が要求されます。身代金が支払われると、被害者は復号化ツール、セキュリティレポート、盗まれたすべてのデータを記述したファイルツリー、盗まれた情報が Hive サーバーから消去されたことを証明するログを受け取ります。

Hive の開発者は Go (Golang) 言語を使用してマルウェアを作成しました。検出と分析を妨げるため、Go で書かれた Hive サンプルは難読化されています。Hive が他の脅威アクターと一線を画している点の 1 つは、RaaS オペレーションがメタデータを暗号化されたファイルに直接書き込まないことです。これは、OS が同じクラスター内のデータを書き換える可能性が高いため、ファイルの回復プロセスが複雑になる可能性があるためです。さらに、Hive では一意の鍵が作成され、最終的に暗号化されてディスクに書き込まれるため、このファイルが誤って削除されても、復号化処理は元に戻せません。
次のスクリーンショットは、被害者とHiveの営業部門とのチャット会話を示しています。

被害者は、復号化ソフトウェアの価格と、それが機能する証拠を求めています。その後、被害者は価格について交渉しようとしますが、Hiveの担当者は丁重に断ります。

ハイブは価格を提示し、被害者は暗号化されたファイルのいくつかと、復号化に必要な鍵を要求します。ファイルは復号化され、証拠として被害者に送られます。

さまざまな挨拶のスクリーンショットと会話の調子から、ライブチャットに参加している人が複数いることは明らかです。



結論
ランサムウェアの運用は遅くなっているようには見えません。Menlo Labs は、コミュニティを保護するために、これらのランサムウェアグループを引き続き監視していきます。