Hive 勒索軟件從 Go 切換到 Rust

微軟安全研究人員發現，一年前用 Go 語言編寫的 Hive 勒索軟件有了用 Rust 重寫的新變種。Hive 于 2021 年 6 月出現，兩個月后 FBI 對此發出警告。11 月，歐洲電子零售巨頭 MediaMarkt 受到了 Hive 的攻擊。這是另一個勒索軟件即服務(RaaS)雙重勒索團伙，該團伙最近一直在針對存在漏洞的 Microsoft Exchange 服務器和 RDP 服務器、竊取的 VPN 憑據和網絡釣魚部署勒索軟件并竊取值得竊取的信息。Hive 遷移到 Rust 版本已進行了幾個月，它吸取了 BlackCat 勒索軟件的教訓，后者也是用 Rust 編寫的。Group-IB 研究人員在 3 月發現 Hive 將其 Linux 加密器（針對 VMware ESXi 服務器）轉換為 Rust，讓安全研究人員更難以窺看其與受害者的贖金對話。微軟的分析表明，用 Rust 重寫的 Hive 更加全面，支持在 3 月份提到的對加密方法的更改。微軟指出，“它不是在加密的每個文件中嵌入一個加密密鑰，而是在內存中生成兩組密鑰，用它們加密文件，然后將兩組密鑰加密并寫入它所加密的驅動器的根目錄，兩者都使用 .key 擴展名。”