핵심 요약
Menlo Labs 연구팀은 최근 Hive 랜섬웨어 조직과 피해자 몇 명 간의 통신을 분석했습니다.Hive는 비교적 새로운 서비스형 랜섬웨어 (RaaS) 그룹으로, 올해가 사업 첫해임에도 불구하고 공격적인 전술 덕분에 이 분야에서 강력한 적이 되었습니다.
하이브는 2021년 6월에 처음 등장했습니다.그해 대부분은 REVil과 같은 대규모 랜섬웨어 운영자가 대부분을 차지했지만, Hive는 2021년 11월에 유럽 최대 가전 소매업체인 Media Markt를 공격하여 한 걸음 더 나아갔습니다.그 이후로 Hive 랜섬웨어 공격의 피해자는 제휴 프로그램이 운영된 지 1년이 채 되지 않았음에도 불구하고 수백 명으로 급증했습니다.Hive의 피해자가 된 조직의 대다수는 주로 IT 및 부동산 분야의 미국 기업입니다.
이 RaaS 프로그램은 Hive 운영자들이 대상 조직에 긴급한 압력을 가하는 방법을 사용하는 등 보다 적극적인 프로그램 중 하나입니다.Hive는 취약한 RDP 서버, 손상된 VPN 자격 증명, Cobalt Strike 페이로드가 포함된 악성 첨부 파일이 포함된 피싱 이메일 등 다양한 초기 보안 침해 방법을 사용합니다.
로그인한 후 일부 네트워크 활동을 살펴본 결과, 피해를 당한 피해자에게 고유 식별자가 할당되는 것을 확인했습니다.일단 보안이 침해되면 대상의 데이터가 암호화되는데, 대개 근무 시간 외 시간이나 주말에 암호화됩니다.
암호화 후 대상에 대한 정보는 딥 웹에서 호스팅되는 Hive의 DLS (데이터 유출 사이트) 에 나열됩니다.웹 사이트 링크, 로그인 및 암호 정보, Hive의 “영업 부서”에 연락하기 위한 지침이 포함된 랜섬 노트가 자동으로 생성됩니다.로그인하면 피해자와 Hive 관리자 간의 실시간 채팅이 시작되며, 피해자가 암호 해독기와 사용 방법에 대한 가이드를 받을 수 있도록 대개는 비트코인의 형태로 몸값을 요구합니다.몸값을 지불하면 피해자는 암호 해독기, 보안 보고서, 도난당한 모든 데이터를 설명하는 파일 트리, 도난당한 정보가 Hive 서버에서 지워졌음을 증명하는 로그를 받게 됩니다.
![Target information from Hive site](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/657765643b2c74b46dd53c46_Jive_in_the_Hive_pic_1.png)
Hive 개발자는 Go (Golang) 언어를 사용하여 멀웨어를 작성했습니다.탐지 및 분석을 방해하기 위해 Go로 작성된 Hive 샘플은 난독 처리됩니다.Hive를 다른 위협 행위자와 차별화하는 한 가지 측면은 RaaS 작업이 암호화된 파일에 직접 메타데이터를 기록하지 않는다는 것입니다.이는 OS가 동일한 클러스터에서 데이터를 다시 작성할 가능성이 높기 때문에 파일 복구 프로세스에서 발생할 수 있는 복잡성 때문입니다.또한 Hive는 고유 키를 생성하는데, 이 키는 결국 암호화되어 디스크에 기록되므로 실수로 이 파일을 삭제한 경우 암호 해독 프로세스를 되돌릴 수 없게 됩니다.
다음 스크린샷은 피해자와 Hive 영업 부서 간의 채팅 대화를 보여줍니다.
![Screenshot of victim asking Hive representative for proof of decryption in ransomware live chat](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/65776571ff5601e356d81b43_Jive_in_the_Hive_message_pic_1.png)
피해자는 암호 해독 소프트웨어의 가격과 그것이 작동할 것이라는 증거를 요구하고 있습니다.그런 다음 피해자는 가격에 대해 흥정을 시도하지만 Hive 담당자는 이를 정중하게 거절합니다.
![Screenshot of victim haggling with Hive representative in ransomware live chat](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/6577657c659754bab68790c5_Jive_in_the_Hive_message_pic_2.png)
Hive는 가격을 제시하고 피해자는 암호 해독에 필요한 키와 함께 암호화된 파일 몇 개를 요청합니다.파일은 해독되어 피해자에게 증거로 전송됩니다.
![Screenshot of victim haggling with Hive representative in ransomware live chat](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/6577658697f5c8e9076a5b40_Jive_in_the_Hive_message_pic_3.png)
다양한 인사말의 스크린샷과 대화의 어조를 기반으로 볼 때 실시간 채팅을 하는 사람이 한 명 이상이라는 것이 분명합니다.
![Screenshot of victim haggling with Hive representative in ransomware live chat](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/657765a649ebb3ee60521045_Jive_in_the_Hive_message_pic_4-min.png)
![Screenshot of victim haggling with Hive representative in ransomware live chat](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/657765b3824961886b0abd67_Jive_in_the_Hive_message_pic_5-min.png)
![Screenshot of Hive ransomware live chat](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/657765bc9b0e865bf29d8306_Jive_in_the_Hive_pic_6-min.png)
결론
랜섬웨어 작업은 느려지지 않는 것 같습니다.Menlo Labs는 커뮤니티를 보호하기 위해 이러한 랜섬웨어 그룹을 계속 모니터링할 것입니다.