研究人员详细介绍了他们所谓的“第一次成功尝试”，即解密受Hive 勒索软件感染的数据，而不依赖于用于锁定对内容的访问的私钥。

 

韩国国民大学的一组学者在一篇剖析其加密过程的新论文中表示： “通过使用通过分析确定的加密漏洞，能够在没有攻击者私钥的情况下恢复生成文件加密密钥的主密钥。”与其他网络犯罪组织一样，Hive 运营着一种勒索软件即服务，使用不同的机制来破坏业务网络、泄露数据并加密网络上的数据，并试图收集赎金以换取对解密软件的访问权限。

 

它于2021 年 6 月首次被观察到，当时袭击了一家名为 Altus Group 的公司。Hive 利用了多种初始攻击方法，包括易受攻击的 RDP 服务器、泄露的 VPN 凭据以及带有恶意附件的网络钓鱼电子邮件。该组织还实施越来越有利可图的双重勒索方案，其中参与者不仅通过加密还泄露敏感的受害者数据并威胁要在其 Tor 站点“ HiveLeaks ”上泄露信息。

 

根据区块链分析公司 Chainalysis 的数据，截至 2021 年 10 月 16 日，Hive RaaS 已使至少 355 家公司受害，该集团在 2021 年按收入计算的十大勒索软件品种中排名第八。与该组织相关的恶意活动还促使美国联邦调查局 (FBI) 发布了一份报告，详细说明了攻击的作案手法，并指出勒索软件如何终止与备份、防病毒和文件复制相关的进程以促进加密。

 

研究人员发现的加密漏洞涉及生成和存储主密钥的机制，勒索软件仅使用从主密钥派生的两个密钥流加密文件的选定部分，而不是整个内容。研究人员解释说：“对于每个文件加密过程，都需要来自主密钥的两个密钥流，通过从主密钥中选择两个随机偏移量并分别从所选偏移量中提取 0x100000 字节 (1MiB) 和 0x400 字节 (1KiB) 来创建两个密钥流。”

 

从两个密钥流的XOR 操作创建的加密密钥流然后与交替块中的数据进行 XOR 以生成加密文件。但是这种技术也使得猜测密钥流和恢复主密钥成为可能，从而可以在没有攻击者私钥的情况下解码加密文件。研究人员表示，他们能够利用该漏洞设计一种方法来可靠地恢复加密期间使用的 95% 以上的密钥。

 

研究人员说：“恢复92%的主密钥成功解密约72%的文件，恢复96%的主密钥成功解密约82%的文件，恢复98%的主密钥成功解密约98%的文件。”