Hive勒索软件诞生仅1年左右，于2021年6月首次被观察到，但它已经发展成为勒索软件即服务(RaaS)生态系统中最流行的勒索软件之一。随着其最新的变种携带几个主要的升级，Hive也证明了它是发展最快的勒索软件家族之一，例证了不断变化的勒索软件生态系统。

Hive是一个RaaS有效载荷，微软观察到，在医疗保健和软件行业的组织受到大型勒索软件附属机构(如DEV-0237)的攻击。

微软威胁情报中心(MSTIC)在分析检测到的Hive勒索软件技术时发现了这种新的变体，这种勒索软件会删除。key文件。我们知道Hive丢弃了它的加密密钥文件，其中包含用于解密加密文件的加密密钥，并使用一致的命名模式：

[KEY_NAME].key.[VICTIM_IDENTIFIER] 

(e.g., BiKtPupMjgyESaene0Ge5d0231uiKq1PFMFUEBNhAYv_.key.ab123)

上述的.key文件缺少文件名中的[受害标识符]部分，这促使对丢失它们的Hive勒索软件进行深入分析。通过分析，我们发现了新的Hive变体及其多个版本，它们在命令行和执行的进程中显示出略有不同的可用参数。

通过对新变异样本中的这些模式进行分析，我们发现了更多的样本，这些样本的检出率都很低，没有一个被正确识别为Hive。在这个博客中，我们将分享我们对新的Hive变种的深入分析，包括它的主要功能和升级，目的是为分析人员和防御者提供信息，以便更好地识别和保护组织免受依赖于Hive的恶意软件攻击。