Hive Ransomware
Hive Doxware
(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Угрожает опубликовать данные. Оригинальное название: в записке не указано. На файле написано: encryptor_win32.exe. Написан на языке Go. В криптографической схеме 100 различных ключей RSA в диапазоне от 1024 до 5120 бит, одноразовый блокнот (OTP) 10 Мб и настраиваемый потоковый шифр. Даже если пострадавший заплатит выкуп и получит ключ дешифрования, само дешифрование будет долгим (сообщение об этом).
🐝🐝🐝
Вымогатели, распространяющие Hive Ransomware, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов с помощью программных средств (doxware).
За распространением Hive стоят кибер-группировки из Украины, которые могут действовать и из других стран.
Пострадавшие сообщают, что вымогатели берут деньги и не дают дешифратор.
Не верьте вымогателям! Требуйте гарантии и подтверждения возможности расшифровки.
---
Обнаружения:
DrWeb -> Trojan.Siggen14.9462
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Crypt.XPACK.Gen
BitDefender -> Gen:Variant.Razy.853199
ESET-NOD32 -> WinGo/Filecoder.V, A Variant Of WinGo/Filecoder.V
Kaspersky -> Not-a-virus:HEUR:RiskTool.Win32.Generic
Malwarebytes -> Malware.AI.4245506271
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Malware.Heuristic!ET#94% (RDMK:cmR*
Symantec -> ML.Attribute.HighConfidence, Ransom.Hive
Tencent -> Win32.Risk.Generic.Syhw
TrendMicro -> TROJ_GEN.R002H0CFP21
---
© Генеалогия: Bonsoir ? >> Hive
Сайт "ID Ransomware" это идентифицирует как Hive.
Информация для идентификации
Активность этого крипто-вымогателя была во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .hive
Записка с требованием выкупа называется: HOW_TO_DECRYPT.txt
Содержание записки о выкупе:
Your network has been breached and all data is encrypted.
To decrypt all the data you will need to purchase our decryption software.
Please contact our sales department at:
xxxx://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/
Login: EQA9oyd*****
Password: vNtgAgb3kM**********
Follow the guidelines below to avoid losing your data:
- Do not shutdown or reboot your computers, unmount external storages.
- Do not try to decrypt data using third party software. It may cause irreversible damage.
- Do not fool yourself. Encryption has perfect secrecy and it's impossible to decrypt without knowing the key.
- Do not modify, rename or delete *.key.hive files. Your data will be undecryptable.
- Do not modify or rename encrypted files. You will lose them.
- Do not report to authorities. The negotiation process will be terminated immediately and the key will be erased.
- Do not reject to purchase. Your sensitive data will be publicly disclosed at xxxx://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/
Перевод записки на русский язык:
Ваша сеть взломана и все данные зашифрованы.
Чтобы расшифровать все данные, вам надо приобрести нашу программу для расшифровки.
Пожалуйста, свяжитесь с нашим отделом продаж по адресу:
xxxx://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/
Логин: EQA9oyd*****
Пароль: vNtgAgb3kM**********
Следуйте приведенным ниже инструкциям, чтобы не потерять свои данные:
- Не выключайте и не перезагружайте компьютеры, не отключайте внешние хранилища.
- Не пытайтесь расшифровать данные с помощью сторонних программ. Это может причинить необратимый ущерб.
- Не обманывай себя. Шифрование имеет полную секретность и его невозможно расшифровать, не зная ключа.
- Не изменяйте, не переименовывайте и не удаляйте файлы *.key.hive. Ваши данные невозможно будет расшифровать.
- Не изменяйте и не переименовывайте зашифрованные файлы. Вы их потеряете.
- Не сообщайте властям. Процесс переговоров будет немедленно прекращен, а ключ будет удален.
- Не отказывайтесь от покупки. Ваши конфиденциальные данные будут публично раскрыты по адресу xxxx://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/
Скриншоты сайтов вымогателей:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Вероятно используют свой собственный потоковый шифр.
➤ После шифрования файлов Hive Ransomware уничтожает случайно сгенерированный главный ключ, размером 10 Мбайт, использованный для шифрования файлов.
➤ Удаляет теневые копии файлов.
➤ После заражения Hive создает и удаляет бессмысленные данные в C:\\ или C:\Users\<User_name>\AppData\Local\VirtualStore до тех пор, пока жесткий диск не заполнится. Это делает невозможным восстановление зашифрованных файлов, используя остаточные данные.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Список каталогов, которые обязательно шифруются:
Program files
Program files (x86)
ProgramData
Пропускаемые типы файлов:
.lnk, исполняемые файлы и файлы в каталоге C:\Users\Windows
Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT.txt - название файла с требованием выкупа;
encryptor_win32.exe - название вредоносного файла;
*.key.hive - важный файл, который нельзя изменять и удалять;
hive.bat - файл с командой на удаление исполняемого файла Hive и для самоудаления;
shadow.bat - файл с командой на удаление теневых копий файлов и для самоудаления.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
/c hive.bat
/c shadow.bat
C:\Users\Admin\AppData\Local\Temp\shadow.bat
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_TO_DECRYPT.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/
HiveLeaks: hxxx://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
IOC-1: VT, HA, IA, TG, AR, VMR, JSB MD5: c3aceb1e2eb3a6a3ec54e32ee620721e
SHA-1: cd8e4372620930876c71ba0a24e2b0e17dcd87c9
SHA-256: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618
Vhash: 07503e0f7d1bz4!z
Imphash: 6ed4f5f04d62b18d96b26d6db7c18840
---
MD5: 2f9fc82898d718f2abe99c4a6fa79e69SHA-1: 9d336b8911c8ffd7cc809e31d5b53796bb0cc7bb
SHA-256: 88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b09399717f85ea9afd1
Vhash: 07503e0f7d1bz4!z
Imphash: 6ed4f5f04d62b18d96b26d6db7c18840
Некоторые другие образцы можно найти на сайте BA:
https://bazaar.abuse.ch/browse/tag/Hive/
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== АРЕСТЫ === ARRESTS ===
Октябрь 2021 года:
Ноябрь 2023:
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 18 июля 2021:
Расширение: .<random>.hive
Пример зашифрованного файла: file.txt.gUhFdf6JVSFJKKlPDWJaXaQSdrXJ_KE9Xw7UK8BEyRo.hive
Записка: HOW_TO_DECRYPT.txt
Файл: lock.exe
Результаты анализов: IOC: VT, IA
MD5: 7202c948aa5af1134efdfe978ec6ef60
Вариант от 22 июля 2021:
Расширение: .<random>.hive
Записка: HOW_TO_DECRYPT.txt
Результаты анализов: IOC: VT, IA
MD5: 504bd1695de326bc533fde29b8a69319
Вариант от 3 августа:
Расширение: .w2tnk
Пример зашифрованного файла: file.txt.gUhFdf6JVSFJKKlPDWJaXaQSdrXJ_KE9Xw7UK8BEyRo.w2tnk
Записка: fwdM_HOW_TO_DECRYPT.txt
Файл: a2112.exe
Результаты анализов: IOC: VT, IA
MD5: 4cd42e7aac7f89edf5764b699b2800d0
Сообщение от 16 августа 2021:
Группа вымогателей Hive атакует даже некоммерческие больницы.
Вариант от 2 сентября 2021:
Расширение: .uj1ps
Результаты анализов: IOC: VT, AR
MD5: da13022097518d123a91a3958be326da
Вариант от 14 октября 2021:
Расширение: .qxycv
Записка: ueEe_HOW_TO_DECRYPT.txt
Результаты анализов: IOC: VT, IA
MD5: 829a7f19cb43051f04dc6ae9d73d47c5
Новость от 29 октября 2021:
Новые варианты Hive вскоре могут начать шифровать файлы в системах Linux и FreeBSD, чтобы атаковать серверы корпоративного сектора и получать больше выкупа.
Вариант от 26 октября 2021:
Расширение: .hive
Записка: HOW_TO_DECRYPT.txt
Файл: encryptor_win32.exe
Результаты анализов: IOC: VT, TG
MD5: c3aceb1e2eb3a6a3ec54e32ee620721e
Вариант от 22 ноября 2021:
Расширение: .accuj
Шаблон расширения: .<random{5}>
Пример зашифрованного файла: file.txt.gUhFdf6JVSFJKKlPDWJaXaQSdrXJ_KE9Xw7UK8BEyRo.accuj
Результаты анализов: IOC: VT, IA
MD5: 80174956b0d1849ee802490817a2748f
=== 2022 ===
Вариант от 4 февраля 2022:
Расширение: .aumcc
Шаблон расширения: .<random{5}>
К именам файлов также добавляется случайная строка.
Записка: 3LUo_HOW_TO_DECRYPT.txt
Вариант от 7 февраля 2022:
Расширение: .sncip
Шаблон расширения: .<random{5}>
К именам файлов также добавляется случайная строка.
Записка: eauk_HOW_TO_DECRYPT.txt
Вариант от 24 марта 2022:
Результаты анализов: IOC: VT, IA
MD5: b578f712997625c0c97ff55b70152bb0
Объясняется это тем, что вымогатели, использующие Hive Ransomware, обновили свой шифровальщик с помощью функций, впервые представленных в атаках BlackCat (ALPHV) Ransomware. Новая версия Hive Ransomware, написанная языке программирования Rust, переключается на VMware ESXi Linux. Поскольку предприятия все больше зависят от виртуальных машин для экономии компьютерных ресурсов, консолидации серверов и упрощения резервного копирования, банды вымогателей создают специальные шифровальщики, ориентированные на эти службы.
Новость апреля 2022:
Серверы Microsoft Exchange взломаны! Hive Ransomware установлен!
Microsoft разучилась работать и не может устранить уязвимости даже у себя под носом!
Вариант от 6 июня 2022:
Расширение: .z61yt
Записка: 1uZ5_HOW_TO_DECRYPT.txt
Файл: xp.exe
Результаты анализа:
VT + IA
=== 2023 ===
Новость от 26 января 2023:
Министерство юстиции США, ФБР и
Европол сообщают, что сумели проникнуть в инфраструктуру хакерской группы Hive еще в июле 2022 года и в итоге предотвратили выплату выкупов на общую сумму около 130 млн долларов. Однако они не называют принадлежность членов группы к какой-либо стране, они даже не обвиняют Россию в участии в этой группе, что само по себе уже удивительно. Почему они не стали этого делать? Да потому что эта группа действовала на территории тех стран, чья полиция участвовала в этой акции. А то, что выделенные сервера хакеров-вымогателей находились под носом у вышеназванных организаций в США и Нидерландах, говорит о том, что в целом и в частности им винить нужно только самих себя.
Новость от 30 октября 2023:
Исходные коды Hive были проданы, включая веб-сайт и старые версии Golang и C. Покупатель — Hunters International, которые утверждают, что исправили ошибки в Hive Ransomware, которые в некоторых случаях приводили к невозможности расшифровки файлов. По утверждению самих Hunters International шифрование не является основной целью их деятельности, они специализируются на краже данных, как метод давления на жертву при вымогательстве.
По данным исследователей совпадения и сходства в коде Hunters International соответствуют более чем 60% кода Hive Ransomware.
=== 2024 ===
Новость от 28-29 февраля 2024:
В ID-Ransomware добавлена отдельная идентификация для Hunters International.
Расширение: .locked
Записка: Contact Us.txt
Data Leak сайт:
hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Message + Message + myMessage
Write-up, Topic of Support
*
Внимание!
Файлы, зашифрованные ранней версией, можно восстановить.
Но это не так просто. Читайте PDF-документ и статью
"A Method for Decrypting Data Infected with Hive Ransomware"
hxxxs://arxiv.org/pdf/2202.08477.pdf
hxxxs://arxiv.org/abs/2202.08477
Thanks:
dnwls0719, Michael Gillespie, MalwareDev
Andrew Ivanov (article author)
Fabian Wosar
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.