Group-IB — международная компания, занимающаяся профилактикой и расследованием инцидентов в сфере кибербезопасности, — сообщила в своем телеграм-канале о том, что исследователь, известный под ником reecDeep разработал декриптор для одной одой из последних версий программы-вымогателя Hive V5.

По данным Group-IB на конец октября 2021 года хакеры, разработавшие программу-шифровальщик Hive (в пер. с англ. «Улей»), осуществили около 355 атак. Как минимум, 104 компании вели с переписку с киберзлоумышленниками по вопросу дешифрации заблокированного массива данных, однако, на практике выплаты на биткоин-кошелёк не всегда приводили к разблокировке, что в отдельных случаях ставило под угрозу жизни людей.

Hive, как система хакерских атак, работает в формате «партнёрской программы», публикуя в теневом сегменте интернета приглашения для её потенциальных участников. Атакам подвергались крупные мировые компании, в том числе, MediaMarkt, европейский ритейл электроники, для дешифровки файлов которого преступники установили рекордную сумму выкупа в $240 млн. Расследование Group-IB показало, что некоторые жертвы хакеров из «Улея» пытались выторговать скидку на оплату дешифровки заблокированных файлов, но злоумышленники имели исчерпывающее представление о доходах предприятия и были непреклонны.

Идея для создания дешифровщика, который опубликован на опубликован на GitHub, была подсказана reecDeep специалистом Лаборатории цифровой криминалистики Group-IB Андреем Ждановым (aka rivitna). Декриптор подбирает закрытые ключи для используемого хакерами алгоритма. Отметим, что шифровальщики типа Hive (в большинстве своём) созданы на языке программирования Golang. Они имеют общий исходный код, а также идентичный алгоритм. Использование декриптора даёт возможность выполнить дешифровку, не вступая в контакт с преступниками и сэкономив средства.