Hunters International Ransomware arver Hives operationer

En nyligt opstået ransomware-gruppe ved navn Hunters International har fået kildekoden og infrastrukturen fra den nu demonterede Hive-operation, ved at bruge den som grundlag for deres egne aktiviteter i trusselslandskabet. Ifølge sikkerhedsforskere besluttede lederne af Hive-gruppen strategisk at stoppe deres operationer og overføre deres resterende aktiver til en anden gruppe, nemlig Hunters International.

Hive-gruppen, der tidligere var en produktiv ransomware-as-a-service (RaaS) operation, blev fjernet i januar 2023 som en del af en koordineret retshåndhævelsesindsats.

Efter sådanne beslaglæggelser er det sædvanligt for ransomware-aktører at omgruppere, rebrande eller afbryde deres aktiviteter. I nogle tilfælde kan kerneudviklere videregive kildekoden og anden infrastruktur til en anden trusselsaktør.

Rapporter, der spekulerer i, at Hunters International kan være et rebrand af Hive, dukkede op i sidste måned, da kodeligheder blev identificeret mellem de to stammer. Gruppen har afvist disse påstande og hævder, at den erhvervede Hive-kildekoden og webstedet fra dets udviklere. Indtil videre har Hunters International krævet fem ofre.

Gammel hund, nye tricks

Interessant nok ser gruppen ud til at fokusere mere på dataeksfiltrering, hvor alle rapporterede ofre har oplevet dataeksfiltrering, selvom ikke alle havde deres data krypteret. Dette adskiller Hunters International som mere en dataafpresningsenhed.

Ransomware inkorporerer en ekskluderingsliste over filtypenavne, filnavne og mapper, der skal udelukkes fra kryptering. Derudover kører den kommandoer for at hindre datagendannelse og afslutter processer, der potentielt kan forstyrre krypteringsprocessen.

Mens Hive har været kendt som en af de farligste ransomware-grupper, er det fortsat usikkert, om Hunters International vil vise sig at være lige så eller endnu mere formidabel.