Un nouveau joueur de ransomware, appelé Hunters International, a été récemment découvert. Ce qui distingue ce groupe, c'est son histoire d'origine : il a hérité du code source et de l'infrastructure du système démantelé. Ransomware Hive opération, une ransomware-as-a-service (RAAS) entité que les forces de l'ordre ont réussi à faire tomber plus tôt cette année.
Selon le directeur des solutions techniques de Bitdefender, Martin Zugec, la direction du groupe Hive a fait le choix stratégique de cesser ses activités et de transférer ses actifs restants vers une nouvelle entité, maintenant connu sous le nom de Hunters International. De telles transitions, impliquant le transfert de code source et d’infrastructure, ne sont pas rares dans le paysage changeant des cybermenaces, à mesure que les acteurs de la menace s’adaptent et se réorganisent en réponse à une pression juridique accrue.
Le lien entre Hunters International et Hive
Des spéculations concernant la relation entre Hunters International et l'ancienne opération Hive sont nées des similitudes de codes observées.. Cependant, les acteurs derrière Hunters International ont réfuté ces affirmations, affirmant qu'ils ont acquis le code source et le site Web de Hive auprès des développeurs d'origine, dissiper les notions d'un simple changement de marque.
Un changement tactique
Ce qui distingue Hunters International, c'est son orientation apparente vers l'accent mis sur l'exfiltration de données plutôt que sur le recours exclusif au cryptage pour l'extorsion.. L'analyse de Bitdefender a révélé les fondements du ransomware basés sur Rust, une caractéristique héritée du passage de Hive à ce langage de programmation en juillet 2022 pour renforcer la résistance à l'ingénierie inverse.
Adaptation de la boîte à outils
Comme Hunters International intègre le code du ransomware, des simplifications et une rationalisation notables sont apparentes. Cela inclut une réduction des paramètres de ligne de commande, un processus de stockage des clés de chiffrement plus efficace, et une opération généralement moins verbeuse par rapport à son prédécesseur. Notamment, le ransomware comporte une liste d'exclusion, autoriser des extensions de fichiers spécifiques, noms, et les répertoires doivent être exemptés du cryptage.
Arsenal en action
Au-delà du chiffrement, le ransomware exécute des commandes pour entraver les efforts de récupération de données et met fin aux processus susceptibles d'interférer avec ses activités malveillantes. Alors que Hive a acquis une notoriété comme l'un des groupes de ransomwares les plus redoutables, la communauté de la cybersécurité surveille désormais de près pour évaluer si Hunters International se révélera tout aussi menaçant ou potentiellement plus menaçant.
Conclusion
Depuis que Hunters International se présente sous le feu des projecteurs, armé d'une boîte à outils mature héritée de Hive, les experts en cybersécurité attendent les ramifications potentielles. Avec un accent prononcé sur l’exfiltration de données et une évolution stratégique des tactiques, ce nouvel acteur menaçant est confronté au défi de démontrer ses capacités et d'attirer des affiliés de haut calibre.