Hive勒索软件的主密钥是使用其加密算法中的缺陷检索的

研究人员详细介绍了他们所说的解密感染病毒的数据的“首次成功尝试”蜂巢勒索软件不依赖用于锁定内容访问权限的私钥。

韩国国民大学（Kookmin University）的一组学者在一篇分析其加密过程的新论文中说：“通过分析发现的加密漏洞，我们能够在没有攻击者私钥的情况下恢复生成文件加密密钥的主密钥。”。

Hive和其他网络犯罪组织一样，运营着一种勒索软件即服务，它使用不同的机制来破坏商业网络、过滤数据和加密网络上的数据，并试图收集赎金以换取对解密软件的访问。

这是2021年6月首次在一家名叫Altuz集团的公司进行的。Hive利用了多种初始危害方法，包括易受攻击的RDP服务器、受损的VPN凭据以及带有恶意附件的钓鱼电子邮件。

该组织还实施了利润越来越丰厚的双重勒索计划，参与者不仅要加密，还要过滤敏感的受害者数据，并威胁在他们的Tor网站上泄露信息。”HiveLeaks."

截至2021年10月16日，Hiav-RAAS计划已经损害了至少355家公司，根据B链链分析公司Chanalytics，该集团在收入排名前10的勒索软件中获得了第八的收入。

与该组织有关的恶意活动也促使美国联邦调查局（FBI）发布了一份Flash报告，详细介绍了袭击的作案手法，指出勒索软件如何终止与备份、反病毒和文件复制相关的过程，以便于加密。

研究人员发现的加密漏洞与生成和存储主密钥的机制有关，勒索软件只对文件的部分内容进行加密，而不是使用从主密钥派生的两个密钥流对整个内容进行加密。

研究人员解释说：“对于每个文件加密过程，都需要来自主密钥的两个密钥流。”。“通过从主密钥中选择两个随机偏移量，并分别从所选偏移量中提取0x100000字节（1MiB）和0x400字节（1KB），可以创建两个密钥流。”

加密密钥流由两个密钥流的异或操作创建，然后与交替块中的数据异或生成加密文件。但是，这种技术还可以猜测密钥流并恢复主密钥，从而在没有攻击者私钥的情况下解码加密文件。

研究人员表示，他们能够将该漏洞武器化，从而设计出一种可靠地恢复加密过程中使用的95%以上密钥的方法。

研究人员说：“主密钥恢复了92%，成功解密了大约72%的文件，主密钥恢复了96%，成功解密了大约82%的文件，主密钥恢复了98%，成功解密了大约98%的文件。”。