研究人員詳細介紹了他們所謂的“第一次成功嘗試”，即解密受Hive 勒索軟件感染的數(shù)據(jù)，而不依賴于用于鎖定對內容的訪問的私鑰。

韓國國民大學的一組學者在一篇剖析其加密過程的新論文中表示： “通過使用通過分析確定的加密漏洞，能夠在沒有攻擊者私鑰的情況下恢復生成文件加密密鑰的主密鑰?！?/p>

與其他網(wǎng)絡犯罪組織一樣，Hive 運營著一種勒索軟件即服務，使用不同的機制來破壞業(yè)務網(wǎng)絡、泄露數(shù)據(jù)并加密網(wǎng)絡上的數(shù)據(jù)，并試圖收集贖金以換取對解密軟件的訪問權限。

它于2021 年 6 月首次被觀察到，當時襲擊了一家名為 Altus Group 的公司。Hive 利用了多種初始攻擊方法，包括易受攻擊的 RDP 服務器、泄露的 VPN 憑據(jù)以及帶有惡意附件的網(wǎng)絡釣魚電子郵件。該組織還實施越來越有利可圖的雙重勒索方案，其中參與者不僅通過加密還泄露敏感的受害者數(shù)據(jù)并威脅要在其 Tor 站點“ HiveLeaks ”上泄露信息。

根據(jù)區(qū)塊鏈分析公司 Chainalysis 的數(shù)據(jù)，截至 2021 年 10 月 16 日，Hive RaaS 已使至少 355 家公司受害，該集團在 2021 年按收入計算的十大勒索軟件品種中排名第八。與該組織相關的惡意活動還促使美國聯(lián)邦調查局 (FBI) 發(fā)布了一份報告，詳細說明了攻擊的作案手法，并指出勒索軟件如何終止與備份、防病毒和文件復制相關的進程以促進加密。

研究人員發(fā)現(xiàn)的加密漏洞涉及生成和存儲主密鑰的機制，勒索軟件僅使用從主密鑰派生的兩個密鑰流加密文件的選定部分，而不是整個內容。

研究人員解釋說：“對于每個文件加密過程，都需要來自主密鑰的兩個密鑰流，通過從主密鑰中選擇兩個隨機偏移量并分別從所選偏移量中提取 0x100000 字節(jié) (1MiB) 和 0x400 字節(jié) (1KiB) 來創(chuàng)建兩個密鑰流。”

從兩個密鑰流的XOR 操作創(chuàng)建的加密密鑰流然后與交替塊中的數(shù)據(jù)進行 XOR 以生成加密文件。但是這種技術也使得猜測密鑰流和恢復主密鑰成為可能，從而可以在沒有攻擊者私鑰的情況下解碼加密文件。研究人員表示，他們能夠利用該漏洞設計一種方法來可靠地恢復加密期間使用的 95% 以上的密鑰。

研究人員說：“恢復92%的主密鑰成功解密約72%的文件，恢復96%的主密鑰成功解密約82%的文件，恢復98%的主密鑰成功解密約98%的文件?！?/p>