Los investigadores anunciaron recientemente que descifraron los datos cifrados con el ransomware Hive sin usar la clave privada que genera el malware para bloquear el contenido.

"Al analizar el proceso de cifrado del ransomware Hive, confirmamos que existen vulnerabilidades mediante el uso de su propio algoritmo de cifrado", según un artículo publicado por investigadores de la Universidad Kookmin de Corea del Sur. "Hemos recuperado parcialmente la clave maestra para generar la clave de cifrado de archivos, para permitir el descifrado de datos cifrados por Hive ransomware".

El equipo identificó una falla de cifrado en el mecanismo que utiliza el ransomware para generar y almacenar claves. Hive ransomware solo encripta partes de los documentos comprometidos en lugar de todo el archivo mediante el uso de dos flujos de claves que se originan en la clave maestra.

Hive utiliza una operación XOR en los dos flujos de claves para generar un flujo de claves de cifrado, que se fusiona con los datos y se somete a XOR en bloques alternativos para crear el archivo cifrado. Si bien la técnica funciona, también permite a los expertos adivinar los flujos de claves, restaurar la clave maestra y descifrar el contenido cifrado sin la clave privada del malware.

Según los informes, el equipo de investigación ideó un método confiable para recuperar casi todas las claves de cifrado utilizando la falla. "Recuperamos el 95% de la clave maestra sin la clave privada RSA del atacante y desciframos los datos infectados reales", según el grupo de académicos.

Al igual que otros grupos de delitos cibernéticos, Hive ejecuta una operación de Ransomware-as-a-Service (Raas) que implementa varias herramientas, técnicas y tácticas para atacar empresas, filtrar y cifrar sus datos, y exigir un rescate a cambio de acceso a la clave de descifrado.

La pandilla también se involucra en esquemas de doble extorsión, donde los perpetradores amenazan con filtrar datos confidenciales de las víctimas en varios sitios web si no se cumplen sus demandas. Hive utiliza varias técnicas para violar las redes, incluidas las credenciales de VPN comprometidas, los correos electrónicos de phishing y los servidores RDP vulnerables.