Le rançongiciel Hive porte son chiffreur Linux VMware ESXi sur Rust

Hive ransomware

L’opération de rançongiciel Hive a converti son chiffreur VMware ESXi Linux au langage de programmation Rust et a ajouté de nouvelles fonctionnalités pour rendre plus difficile pour les chercheurs en sécurité d’espionner les négociations de rançon de la victime.

Alors que l’entreprise dépend de plus en plus des machines virtuelles pour économiser les ressources informatiques, consolider les serveurs et faciliter les sauvegardes, les gangs de ransomwares créent des chiffreurs dédiés qui se concentrent sur ces services.

Les chiffreurs Linux du gang Ransomware ciblent généralement les plates-formes de virtualisation VMware ESXI car ils sont les plus couramment utilisés dans l’entreprise.

Alors que Hive utilise un chiffreur Linux pour cibler les serveurs VMware ESXi depuis un certain temps, un échantillon récent montre qu’ils ont mis à jour leur chiffreur avec des fonctionnalités introduites pour la première fois par l’opération de rançongiciel BlackCat/ALPHV.

Hive emprunte des fonctionnalités à BlackCat

Lorsque les opérations de ransomware attaquent une victime, elles essaient de mener leurs négociations en privé, en disant aux victimes que si une rançon n’est pas payée, leurs données seront publiées et leur réputation en souffrira.

Cependant, lorsque des échantillons de rançongiciels sont téléchargés sur des services publics d’analyse de logiciels malveillants, ils sont généralement trouvés par des chercheurs en sécurité qui peuvent extraire la note de rançon et espionner les négociations.

Dans de nombreux cas, ces négociations sont ensuite rendues publiques sur Twitter et ailleurs, provoquant l’échec des négociations.

Le gang de rançongiciels BlackCat a supprimé les URL de négociation Tor de son chiffreur pour éviter que cela ne se produise. Au lieu de cela, il fallait que l’URL soit transmise en tant qu’argument de ligne de commande lorsque le chiffreur est exécuté.

Cette fonctionnalité empêche les chercheurs qui trouvent l’exemple de récupérer l’URL car elle n’est pas incluse dans l’exécutable et n’est transmise à l’exécutable qu’au moment de l’exécution.

Alors que Hive Ransomware nécessite déjà un nom de connexion et un mot de passe pour accéder à la page de négociation Tor d’une victime, ces informations d’identification étaient auparavant stockées dans l’exécutable du chiffreur, ce qui les rend faciles à récupérer.

Site de négociation de rançon Hive Tor
Site de négociation de rançon Hive Tor

Dans un nouveau chiffreur Hive Linux trouvé par un chercheur en sécurité du groupe IB rivalitél’opération Hive nécessite désormais que l’attaquant fournisse le nom d’utilisateur et le mot de passe de connexion comme argument de ligne de commande lors du lancement du logiciel malveillant.

Instructions aux affiliés du rançongiciel Hive
Instructions aux affiliés du rançongiciel Hive
Source : Rivina

En copiant les tactiques de BlackCat, l’opération de rançongiciel Hive a rendu impossible la récupération des informations d’identification de connexion à la négociation à partir d’échantillons de logiciels malveillants Linux, les informations d’identification n’étant désormais disponibles que dans les notes de rançon créées lors de l’attaque.

On ne sait pas si les chiffreurs Hive Windows utilisent également ce nouvel argument de ligne de commande pour le moment, mais sinon, nous le verrons probablement ajouté sous peu.

Rivitna a également déclaré à EZpublish-france.fr que Hive continuait de copier BlackCat en transférant son chiffreur Linux de Golang vers le langage de programmation Rust pour rendre les échantillons de ransomware plus efficaces et plus difficiles à désosser.

« Rust permet d’obtenir un code plus sûr, rapide et efficace, tandis que l’optimisation du code complique l’analyse du programme Rust », a déclaré Rivitna à EZpublish-france.fr dans un chat sur Twitter.

Le chiffrement des machines virtuelles VMware ESXi étant un élément essentiel d’une attaque réussie, les opérations de ransomware font constamment évoluer leur code non seulement pour être plus efficaces, mais aussi pour garder les opérations et les négociations secrètes.

Au fur et à mesure que de plus en plus d’entreprises passeront à la virtualisation de leurs serveurs, nous continuerons de voir les développeurs de rançongiciels non seulement se concentrer sur les appareils Windows, mais également créer des chiffreurs Linux dédiés ciblant ESXi.

Pour cette raison, tous les professionnels de la sécurité et les administrateurs réseau doivent porter une attention particulière à leurs serveurs Linux pour détecter les signes d’attaques.