Hive, een van de meest populaire ransomware-as-a-service-varianten, is herschreven in programmeertaal Rust. De malware wordt vaker bijgewerkt dan gedacht, waardoor aanvallen aan de radar voorbijgaan.
Ransomware-as-a-service-groepen werken als professionele developers. Een of meerdere leden ontwikkelen en verkopen een malwarevariant. De groep focust niet op verspreiding, maar op productontwikkeling. Vaak is de malware op abonnementsbasis beschikbaar. In ruil voor een maandelijks bedrag ontvangen cybercriminelen een gebruiksvriendelijk programma en regelmatige updates.
Hive werd voor het eerst in 2021 ontdekt. In het afgelopen jaar groeide de ransomware uit tot een van de meest gebruikte varianten. Hive is het product van een ransomware-as-a-service-groep: de malware wordt continu bijgewerkt en door meerdere aanvallers gebruikt. Tijdens een recente analyse ontdekte het Microsoft Threat Intelligence Center (MSTIC) dat de malware is herschreven in programmeertaal Rust.
Rust blijft onder de radar
Hive heeft meer versies dan gedacht. Volgens het MSTIC voeren de ontwikkelaars kleine aanpassingen door om detectie te voorkomen. Met succes, want tijdens de analyse werd geen enkele nieuwe versie door bestaande securityproducten geïdentificeerd als Hive.
De ontwikkelaars van Hive schreven aanvankelijk in programmeertaal Go. De nieuwe variant draait op Rust. De programmeertaal heeft een aantal voordelen voor ransomware-as-a-service-groepen. Volgens het MSTIC is de syntax gebruiksvriendelijker dan Go, waardoor groepsleden sneller kunnen samenwerken. Bovendien biedt Rust een ruime keuze onder versleutelingsalgoritmes. Tot slot is reverse-engineering relatief lastig voor Rust-programma’s, waardoor de code geheim blijft.
Hive is niet de eerste ransomware op basis van Rust. BlackCat, een andere populaire variant, zette de trend. Het is een kwestie van tijd voordat andere varianten volgen.
Threat intelligence
Ransomware-as-a-service-groepen zijn interessant voor securityleveranciers. Heb je inzicht in de malware van een aanvaller, dan kan je een aanval onderscheppen. Vandaar doet het MTICS onderzoek naar ransomware-as-a-service-groepen.
Ontdekt het team hoe een variant te werk gaat, dan wordt de informatie in de securityproducten van Microsoft verwerkt. Vervolgens is de technologie in staat om de variant of groep te blokkeren. Microsoft 365 Defender en Microsoft Sentinel zijn geüpdatet om de nieuwe versies van Hive te herkennen.
9 uur geleden
