
Un nuovo gruppo di ransomware chiamato Hunters International ha ottenuto il proprio codice sorgente e infrastruttura dall'ormai defunta operazione Hive. Ciò serve a loro per avviare i propri attacchi nella scena delle minacce.
"Sembra che i leader del gruppo Hive abbiano preso la decisione intelligente di chiudere e di dare i loro rimanenti asset a un altro gruppo, Hunters International", ha scritto Martin Zugec, direttore delle soluzioni tecniche di Bitdefender, in un rapporto pubblicato la scorsa settimana.
Hive era un'azienda di ransomware-as-a-service (RaaS) molto attiva. A gennaio 2023, è stata chiusa come parte di un'operazione di polizia pianificata. È comune che le persone che creano ransomware ricomincino, cambino i loro nomi o smettano di fare affari dopo essere state scoperte. Tuttavia, i principali sviluppatori del malware potrebbero dare il codice sorgente e altre infrastrutture a un altro attore minaccioso.
Sicurezza online Il mese scorso, c'erano voci che Hunters International potesse essere un nuovo nome per Hive dopo che sono stati trovati alcuni collegamenti di codice tra le due varianti. Da allora, cinque persone ne sono morte. Gli attori minacciosi dietro di esso, d'altra parte, hanno cercato di dissipare questi rumors affermando di aver acquistato il codice sorgente e il sito web di Hive da coloro che li hanno creati.
"Il gruppo sembra dare maggiore importanza all'esfiltrazione dei dati", ha detto Zugec. "In particolare, tutte le vittime segnalate hanno subito il furto di dati, ma non tutte hanno avuto i loro dati crittografati." Ciò rende Hunters International più un gruppo che richiede denaro in cambio di dati.
Lo studio di Bitdefender sul campione di ransomware mostra che è costruito su Rust. Ciò è supportato dal fatto che Hive ha cambiato linguaggio di programmazione a luglio 2022 per renderlo più difficile da invertire.
"In generale, poiché il nuovo gruppo adotta questo codice ransomware, sembra che abbiano mirato alla semplificazione", ha detto Zugec. Sicurezza online "Hanno ridotto il numero di parametri della riga di comando, ottimizzato il processo di archiviazione delle chiavi di crittografia e reso il malware meno verboso rispetto alle versioni precedenti."
Oltre ad avere un elenco di estensioni di file, nomi di file e cartelle che non dovrebbero essere crittografati, il ransomware esegue anche comandi che bloccano il recupero dei dati e terminano diversi processi che potrebbero ostacolare il processo.
"Mentre Hive è stato uno dei gruppi di ransomware più pericolosi, resta da vedere se Hunters International si dimostrerà altrettanto o addirittura più formidabile", ha detto Zugec.
"Questo gruppo emerge come un nuovo attore minaccioso che inizia con un toolkit maturo e sembra desideroso di mostrare le sue capacità, [ma] si trova di fronte al compito di dimostrare la sua competenza prima di poter attirare affiliati di alto livello."
Comentários