Trovato un bug nel ransomware Hive: consente di recuperare la master key

20 Febbraio 2022 Nicola Fioranelli

I cyber criminali non saranno molto contenti di sapere che è stato identificato un bug nel loro ransomware Hive che consente di recuperare la master key. Questa notizia è estremamente interessante perché riuscire ad ottenere la master key consente alle vittime dell’attacco di ritornare in possesso dei propri dati personali.

Il lavoro a cura del gruppo di ricerca della South Korea’s Kookmin University ha enormi impatti benefici. Infatti, Hive, comparso nel giugno del 2021, ha compromesso molti sistemi con conseguenze pesanti per le aziende. Recuperare la chiave di cifratura non è banale e le vittime si trovano costrette a pagare il riscatto pur di recuperare i propri dati.

Come funziona il ransomware Hive

Molti cyber criminali lavorano usando il cosiddetto modello RaaS (Ransomware-as-a-Service) che consente di automatizzare il processo di infezione, cifratura ed eventuale raccolta di dati sensibili. Tuttavia, molti di questi gruppi hanno un loro codice etico interno con il quale decidono di salvaguardare alcuni settori per non danneggiare troppo la vita dei pubblici cittadini. Ad esempio, vari ransomware evitano di attaccare ospedali o aziende di pubblica sanità per proteggere questi servizi essenziali.

Ransomware hive bug

Hive, al contrario, ha puntato in più occasioni il settore sanitario con gravissimi danni per le case di cura e per la gestione dei pazienti ricoverati. Inoltre, il ransomware, non si limita soltanto alla cifratura dei dischi fissi della macchina infettata ma ha un sistema di estorsione a due livelli. Esistono, pertanto, due portali di cui uno dedicato alle vittime e uno per i vari data leakage effettuati.

Il primo portale è accessibile tramite autenticazione della vittima. Qui si potranno trovare i propri dati personali cifrati e ottenerli indietro pagando il riscatto. Per di più, gli attaccanti hanno anche predisposto un sistema di live chat per dialogare con coloro che si trovano i propri sistemi fuori servizio. Il secondo portale, invece, è quello utilizzato per rendere pubbliche le informazioni rubate nei vari attacchi. Il nome, HiveLeaks, ne descrive perfettamente lo scopo e la sua esposizione nel dark web serve a preservarne la privacy.

Hive, come moltissimi ransomware, utilizza un sistema di doppia cifratura per far sì che l’attacco risulti efficace. Una volta infettata una macchina mediante un attacco di phishing, il malware si attiva cifrando i dischi rigidi. Dapprima, genera nel sistema in cui si trova, una chiave di cifratura di 10 MB. Questa sarà la master key necessaria anche per la decifratura. Tuttavia, per maggiore protezione il malware la cifra con un sistema a chiave asimmetrica, dove la chiave privata è in mano agli attaccanti.

Il bug nel sistema di cifratura del ransomware Hive

L’articolo, pubblicato qualche giorno fa come pre-print, promette ottimi risultati già dal suo abstract. Il gruppo di ricerca sud coreano ha analizzato nel corso di questi mesi il funzionamento del malware e ha evidenziato una falla nel processo di cifratura ideato dagli attaccanti e descritto poco fa.

I ricercatori sono stati in grado di recuperare il 95% della master key senza entrare in possesso della chiave privata degli attaccanti. In questo modo, sono stati anche capaci di decifrare parte dei dati nei sistemi vittima dell’attacco. A partire dalla master key sono necessari due flussi di chiave crittografica. Entrambi vengono generati selezionando degli offset della chiave primaria e quindi mettendoli in XOR per creare il flusso di chiave per la crittografia dei file. Questa tecnica, però, permette di recuperare la stessa master key, garantendo di fatto l’accesso alla decifratura dei dati.

Il lavoro è senza dubbio pionieristico e potrebbe salvare moltissime vittime permettendo di recuperare i dati cifrati. Il nostro consiglio rimane ad ogni modo di prestare la massima attenzione durante la navigazione nel web. La prevenzione, in questi casi, è un’ottima arma.