原文地址：https://thehackernews.com/2022/07/hive-ransomware-upgrades-to-rust-for.html
翻译：梦幻的彼岸

Hive勒索软件即服务（RaaS）计划的运营商已经对其文件加密软件进行了大修，以完全迁移到Rust，并采用了更复杂的加密方法。

"Microsoft Threat Intelligence Center---微软威胁情报中心（MSTIC）在周二的一份报告中说："随着它的最新变体携带几个主要的升级，Hive也证明了它是发展最快的勒索软件家族之一，体现了不断变化的勒索软件生态系统。

2021年6月首次观察到的Hive已经成为最多产的RaaS集团之一，仅在2022年5月就占了17次攻击，与Black Basta和Conti并列。

从GoLang到Rust的转变使Hive成为继BlackCat之后第二个用编程语言编写的勒索软件，使恶意软件能够获得额外的好处，如内存安全和对低级资源的更深入控制，以及利用广泛的加密库。

它还提供了使恶意软件对逆向工程具有抵抗力的能力，使其更具规避性。此外，它还具有停止与安全解决方案相关联的服务和进程的功能，这些服务和进程可能会在其运行过程中停止。


Hive与其他勒索软件家族没有什么不同，它删除备份以防止恢复，但在新的基于Rust的变体中，变化很大的是它对文件加密的方法。

"MSTIC解释说："它不是在它加密的每个文件中嵌入一个加密的密钥，而是在内存中生成两套密钥，用它们来加密文件，然后加密并将这两套密钥写入它所加密的驱动器的根部，这两套密钥的扩展名都是.key。

为了确定这两个密钥中的哪一个用于锁定一个特定的文件，一个加密文件被重新命名，以包括包含密钥的文件名，然后再加上一个下划线和一个Base64编码的字符串（例如，"C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8"），指向相应.key文件中的两个不同位置。

Bleeping Computer本周报道说，这些发现是由于不太知名的AstraLocker勒索软件背后的威胁行为者停止运作并发布了一个解密工具，作为转向加密劫持的一部分。

但有迹象表明，网络犯罪的形势在不断变化，网络安全研究人员发现了一个新的勒索软件家族，名为RedAlert（又名N13V），能够同时针对Windows和Linux VMWare ESXi服务器。