Un nuovo lettore ransomware, chiamato Hunters International, è stato recentemente scoperto. Ciò che distingue questo gruppo è la sua storia di origine: ha ereditato il codice sorgente e l'infrastruttura da quelli smantellati Hive ransomware operazione, un ransomware-as-a-service (RAAS) entità che le forze dell’ordine hanno abbattuto con successo all’inizio di quest’anno.
Secondo il direttore delle soluzioni tecniche di Bitdefender, Martin Zugec, la leadership del gruppo Hive ha fatto la scelta strategica di cessare le proprie attività e trasferire le rimanenti attività a una nuova entità, ora noto come Hunters International. Tali transizioni, che comportano il trasferimento del codice sorgente e dell'infrastruttura, non sono rari nel panorama in evoluzione delle minacce informatiche, poiché gli attori delle minacce si adattano e si riorganizzano in risposta alla crescente pressione legale.
La connessione tra Hunters International e Hive
Le speculazioni riguardanti la relazione tra Hunters International e l'ex operazione Hive sono sorte a causa delle somiglianze dei codici osservate. Tuttavia, gli attori dietro Hunters International hanno ribattuto queste affermazioni, affermando di aver acquisito il codice sorgente e il sito Web Hive dagli sviluppatori originali, dissipando l'idea di un semplice rebranding.
Un cambiamento tattico
Ciò che distingue Hunters International è il suo evidente orientamento verso l’enfasi sull’esfiltrazione dei dati piuttosto che sull’affidamento esclusivo alla crittografia per l’estorsione. L'analisi di Bitdefender ha scoperto le fondamenta basate su Rust del ransomware, una caratteristica ereditata dal passaggio di Hive a questo linguaggio di programmazione a luglio 2022 per aumentare la resistenza al reverse engineering.
Adattare il toolkit
As Hunters International incorpora il codice ransomware, sono evidenti notevoli semplificazioni e snellimenti. Ciò include una riduzione dei parametri della riga di comando, un processo di archiviazione delle chiavi di crittografia più efficiente, e un'operazione generalmente meno dettagliata rispetto al suo predecessore. In particolare, il ransomware presenta un elenco di esclusione, consentendo estensioni di file specifiche, nomi, e le directory da esentare dalla crittografia.
Arsenale in azione
Oltre la crittografia, il ransomware esegue comandi per ostacolare gli sforzi di recupero dei dati e termina i processi che potrebbero interferire con le sue attività dannose. Mentre Hive ha guadagnato notorietà come uno dei gruppi di ransomware più formidabili, la comunità della sicurezza informatica ora osserva attentamente per valutare se Hunters International si rivelerà altrettanto minaccioso o potenzialmente di più.
Conclusione
Dal momento che Hunters International entra sotto i riflettori armato di un toolkit maturo ereditato da Hive, gli esperti di sicurezza informatica attendono potenziali conseguenze. Con una spiccata attenzione all'esfiltrazione dei dati e un'evoluzione strategica delle tattiche, questo nuovo attore di minacce deve affrontare la sfida di mettere in mostra le sue capacità e attirare affiliati di alto calibro.