Um novo jogador de ransomware, chamado Hunters Internacional, foi descoberto recentemente. O que diferencia este grupo é a sua história de origem – ele herdou o código-fonte e a infraestrutura do desmantelado Ransomware Hive Operação, uma ransomware-as-a-service (Raas) entidade que as agências de aplicação da lei derrubaram com sucesso no início deste ano.
De acordo com o Diretor de Soluções Técnicas da Bitdefender, Martin Zugec, a liderança do grupo Hive fez uma escolha estratégica de cessar as suas operações e transferir os seus ativos restantes para uma nova entidade, agora conhecido como Hunters International. Tais transições, envolvendo a transferência de código-fonte e infraestrutura, não são incomuns no cenário em evolução das ameaças cibernéticas, à medida que os atores da ameaça se adaptam e se reorganizam em resposta ao aumento da pressão legal.
A conexão entre Hunters International e Hive
Especulações sobre a relação entre a Hunters International e a antiga operação Hive surgiram devido às semelhanças de código observadas. Contudo, os atores por trás da Hunters International contestaram essas afirmações, afirmando que adquiriram o código-fonte e o site do Hive dos desenvolvedores originais, dissipando noções de uma mera reformulação da marca.
Uma mudança tática
O que distingue a Hunters International é o seu aparente pivô no sentido de enfatizar a exfiltração de dados em vez da dependência exclusiva da criptografia para extorsão.. A análise do Bitdefender descobriu as bases do ransomware baseadas em Rust, uma característica herdada da mudança do Hive para esta linguagem de programação em julho 2022 para aumentar a resistência à engenharia reversa.
Adaptando o Kit de Ferramentas
Como Hunters International incorpora o código ransomware, simplificações e racionalizações perceptíveis são aparentes. Isso inclui uma redução nos parâmetros da linha de comando, um processo de armazenamento de chave de criptografia mais eficiente, e uma operação geralmente menos detalhada em comparação com seu antecessor. Notavelmente, o ransomware apresenta uma lista de exclusão, permitindo extensões de arquivo específicas, nomes, e diretórios estarão isentos de criptografia.
Arsenal em ação
Além da criptografia, o ransomware executa comandos para dificultar os esforços de recuperação de dados e encerra processos que possam interferir em suas atividades maliciosas. Embora o Hive tenha ganhado notoriedade como um dos grupos de ransomware mais formidáveis, a comunidade de segurança cibernética agora observa atentamente para avaliar se a Hunters International se mostrará igualmente ameaçadora ou potencialmente mais ameaçadora.
Conclusão
Desde que a Hunters International ganha destaque armada com um kit de ferramentas maduro herdado do Hive, especialistas em segurança cibernética aguardam possíveis ramificações. Com foco pronunciado na exfiltração de dados e uma evolução estratégica nas táticas, este novo ator de ameaça enfrenta o desafio de mostrar suas capacidades e atrair afiliados de alto calibre.