Linux, FreeBSD를 암호화하는 Hive 랜섬웨어 변종 발견돼

ESET found a variant of the Hive ransomware that encrypts Linux and FreeBSD

 

ESET의 연구원들이 Linux 및 FreeBSD를 암호화하기 위해 특별히 개발된 새로운 Hive의 새로운 랜섬웨어 변종을 발견했습니다.

 

연구원들은 이 새로운 랜섬웨어가 아직 개발 단계에 있다고 추측했습니다.

 

 

<이미지 출처 : https://twitter.com/ESETresearch/status/1454100591261667329/photo/2>

 

 

이 두 변종 모두 Golang으로 제작되었지만 문자열, 패키지 이름, 함수 이름은 난독화된 상태였습니다.

 

 

<이미지 출처 : https://twitter.com/ESETresearch/status/1454100591261667329/photo/1>

 

 

Linux 변종은 일부 버그에 영향을 받는 것으로 보이며 연구원들은 악성코드가 명시적 경로로 실행될 때 암호화 프로세스가 작동하지 않는다는 것을 발견했습니다.

 

랜섬웨어의 윈도우용 변종은 최대 5개의 실행 옵션을 지원하지만, 새로운 Linux 및 FreeBSD 변종은 하나의 명령줄 매개변수(-no-wipe)만 지원합니다.

 

ESET에 따르면 Linux 버전의 Hive 랜섬웨어도 루트 권한으로 실행되지 않을 경우 암호화 기능을 트리거할 수 없습니다.

 

 

<이미지 출처 : https://twitter.com/ESETresearch/status/1454101342901899266>

 

 

지난 8월, FBI는 공격 그룹 운영과 관련된 기술적 세부 정보와 IoC가 포함된 Hive 랜섬웨어 공격에 대한 플래시 경고를 발표했습니다.

 

Hive 그룹은 2021년 6월부터 활동했으며, 서비스형 랜섬웨어 모델을 구현하고 다양한 전술, 기술, 절차(TTP)를 사용합니다.

 

정부 전문가들은 이 그룹이 피해자의 네트워크를 해킹하기 위해 다양한 메커니즘을 사용한다고 밝혔습니다. 이들은 접근 권한을 얻기 위해 악성 첨부파일이 담긴 피싱 이메일을 사용하거나, 네트워크에 침투 후 측면 이동을 위해 원격 데스크톱 프로토콜(RDP)을 사용하기도 했습니다.

 

랜섬웨어는 파일 암호화를 용이하게 하기 위해 백업, 안티바이러스/스파이웨어, 파일 복사와 관련된 프로세스를 찾아 종료합니다.

 

Hive 랜섬웨어는 암호화된 파일의 파일 이름에 .hive 확장자를 추가합니다.

 

전문가에 따르면 Hive 운영자는 이미 수십 개의 조직을 공격했으며, Linux 변종의 발견 소식은 이 조직이 운영을 확대하고 있음을 보여줍니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/123931/malware/hive-ransomware-linux-freebsd.html

https://www.ic3.gov/Media/News/2021/210825.pdf

https://twitter.com/ESETresearch/status/1454101625409265665 (IOC)