Menlo Labs 연구팀은 최근 Hive 랜섬웨어 조직과 피해자 몇 명 간의 통신을 분석했습니다.Hive는 비교적 새로운 서비스형 랜섬웨어 (RaaS) 그룹으로, 올해가 사업 첫해임에도 불구하고 공격적인 전술 덕분에 이 분야에서 강력한 적이 되었습니다.
하이브는 2021년 6월에 처음 등장했습니다.그해 대부분은 REVil과 같은 대규모 랜섬웨어 운영자가 대부분을 차지했지만, Hive는 2021년 11월에 유럽 최대 가전 소매업체인 Media Markt를 공격하여 한 걸음 더 나아갔습니다.그 이후로 Hive 랜섬웨어 공격의 피해자는 제휴 프로그램이 운영된 지 1년이 채 되지 않았음에도 불구하고 수백 명으로 급증했습니다.Hive의 피해자가 된 조직의 대다수는 주로 IT 및 부동산 분야의 미국 기업입니다.
이 RaaS 프로그램은 Hive 운영자들이 대상 조직에 긴급한 압력을 가하는 방법을 사용하는 등 보다 적극적인 프로그램 중 하나입니다.Hive는 취약한 RDP 서버, 손상된 VPN 자격 증명, Cobalt Strike 페이로드가 포함된 악성 첨부 파일이 포함된 피싱 이메일 등 다양한 초기 보안 침해 방법을 사용합니다.
로그인한 후 일부 네트워크 활동을 살펴본 결과, 피해를 당한 피해자에게 고유 식별자가 할당되는 것을 확인했습니다.일단 보안이 침해되면 대상의 데이터가 암호화되는데, 대개 근무 시간 외 시간이나 주말에 암호화됩니다.
암호화 후 대상에 대한 정보는 딥 웹에서 호스팅되는 Hive의 DLS (데이터 유출 사이트) 에 나열됩니다.웹 사이트 링크, 로그인 및 암호 정보, Hive의 “영업 부서”에 연락하기 위한 지침이 포함된 랜섬 노트가 자동으로 생성됩니다.로그인하면 피해자와 Hive 관리자 간의 실시간 채팅이 시작되며, 피해자가 암호 해독기와 사용 방법에 대한 가이드를 받을 수 있도록 대개는 비트코인의 형태로 몸값을 요구합니다.몸값을 지불하면 피해자는 암호 해독기, 보안 보고서, 도난당한 모든 데이터를 설명하는 파일 트리, 도난당한 정보가 Hive 서버에서 지워졌음을 증명하는 로그를 받게 됩니다.
Hive 개발자는 Go (Golang) 언어를 사용하여 멀웨어를 작성했습니다.탐지 및 분석을 방해하기 위해 Go로 작성된 Hive 샘플은 난독 처리됩니다.Hive를 다른 위협 행위자와 차별화하는 한 가지 측면은 RaaS 작업이 암호화된 파일에 직접 메타데이터를 기록하지 않는다는 것입니다.이는 OS가 동일한 클러스터에서 데이터를 다시 작성할 가능성이 높기 때문에 파일 복구 프로세스에서 발생할 수 있는 복잡성 때문입니다.또한 Hive는 고유 키를 생성하는데, 이 키는 결국 암호화되어 디스크에 기록되므로 실수로 이 파일을 삭제한 경우 암호 해독 프로세스를 되돌릴 수 없게 됩니다.
다음 스크린샷은 피해자와 Hive 영업 부서 간의 채팅 대화를 보여줍니다.
피해자는 암호 해독 소프트웨어의 가격과 그것이 작동할 것이라는 증거를 요구하고 있습니다.그런 다음 피해자는 가격에 대해 흥정을 시도하지만 Hive 담당자는 이를 정중하게 거절합니다.
Hive는 가격을 제시하고 피해자는 암호 해독에 필요한 키와 함께 암호화된 파일 몇 개를 요청합니다.파일은 해독되어 피해자에게 증거로 전송됩니다.
다양한 인사말의 스크린샷과 대화의 어조를 기반으로 볼 때 실시간 채팅을 하는 사람이 한 명 이상이라는 것이 분명합니다.
랜섬웨어 작업은 느려지지 않는 것 같습니다.Menlo Labs는 커뮤니티를 보호하기 위해 이러한 랜섬웨어 그룹을 계속 모니터링할 것입니다.
