Un nuevo reproductor de ransomware, llamado Hunters Internacional, ha sido descubierto recientemente. Lo que distingue a este grupo es su historia de origen: ha heredado el código fuente y la infraestructura del desmantelado Ransomware colmena operación, un ransomware-as-a-service (RAAS) entidad que las agencias de aplicación de la ley derribaron con éxito a principios de este año.
Según el director de soluciones técnicas de Bitdefender, Martín Zugec, El liderazgo del grupo Hive tomó la decisión estratégica de cesar sus operaciones y transferir sus activos restantes a una nueva entidad., ahora conocido como Hunters International. Tales transiciones, que implica la transferencia de código fuente e infraestructura, no son infrecuentes en el panorama cambiante de las amenazas cibernéticas, a medida que los actores de amenazas se adaptan y reorganizan en respuesta a una mayor presión legal.
La conexión entre Hunters International y Hive
Las especulaciones sobre la relación entre Hunters International y la antigua operación Hive surgieron debido a las similitudes de código observadas.. Sin embargo, Los actores detrás de Hunters International han contrarrestado estas afirmaciones., afirmando que adquirieron el código fuente de Hive y el sitio web de los desarrolladores originales, disipando las nociones de un mero cambio de marca.
Un cambio táctico
Lo que distingue a Hunters International es su aparente giro hacia el énfasis en la exfiltración de datos sobre la dependencia exclusiva del cifrado para la extorsión.. El análisis de Bitdefender descubrió los fundamentos del ransomware basados en Rust, una característica heredada del cambio de Hive a este lenguaje de programación en julio 2022 para mejorar la resistencia a la ingeniería inversa.
Adaptación del kit de herramientas
Como Hunters International incorpora el código ransomware, Se aprecian simplificaciones y racionalizaciones notables.. Esto incluye una reducción en los parámetros de la línea de comando., un proceso de almacenamiento de claves de cifrado más eficiente, y una operación generalmente menos detallada en comparación con su predecesor. Notablemente, el ransomware presenta una lista de exclusión, permitiendo extensiones de archivos específicas, nombres, y directorios estarán exentos de cifrado.
Arsenal en acción
Más allá del cifrado, el ransomware ejecuta comandos para obstaculizar los esfuerzos de recuperación de datos y finaliza procesos que podrían interferir con sus actividades maliciosas. Mientras que Hive ganó notoriedad como uno de los grupos de ransomware más formidables, La comunidad de ciberseguridad ahora observa de cerca para evaluar si Hunters International resultará igualmente amenazante o potencialmente más..
Conclusión
Desde que Hunters International pasa a ser el centro de atención armado con un conjunto de herramientas maduro heredado de Hive, Los expertos en ciberseguridad esperan posibles ramificaciones. Con un marcado enfoque en la exfiltración de datos y una evolución estratégica en las tácticas., Este nuevo actor de amenazas enfrenta el desafío de mostrar sus capacidades y atraer afiliados de alto calibre..