A Hunters International Ransomware örökli a Hive működését

A nemrég felbukkant Hunters International nevű zsarolóprogram-csoport megszerezte a forráskódot és az infrastruktúrát a már felszámolt Hive-műveletből, és ezt használta a fenyegetésekkel kapcsolatos tevékenységei alapjául. Biztonsági kutatók szerint a Hive csoport vezetői stratégiailag úgy döntöttek, hogy leállítják működésüket, és megmaradt vagyonukat egy másik csoporthoz, a Hunters Internationalhez ruházzák át.

A Hive csoportot, amely korábban termékeny ransomware-as-a-service (RaaS) tevékenység volt, 2023 januárjában megszüntették egy összehangolt bűnüldözési erőfeszítés részeként.

Az ilyen rohamokat követően a zsarolóvírus-szereplőknél megszokott, hogy átcsoportosítanak, új márkát alakítanak ki, vagy abbahagyják tevékenységüket. Egyes esetekben a központi fejlesztők továbbadhatják a forráskódot és az egyéb infrastruktúrát egy másik fenyegetés szereplőjének.

A múlt hónapban jelentek meg olyan jelentések, amelyek azt feltételezik, hogy a Hunters International a Hive új márkája lehet, amikor a két törzs között kód hasonlóságokat azonosítottak. A csoport tagadta ezeket az állításokat, és azt állítja, hogy a Hive forráskódját és webhelyét a fejlesztőitől szerezte be. A Hunters International eddig öt áldozatot követelt.

Régi kutya, új trükkök

Érdekes módon úgy tűnik, hogy a csoport inkább az adatok kiszűrésére összpontosít, mivel minden bejelentett áldozat átélt adatszivárgást, bár nem mindegyikük titkosította az adatait. Ez megkülönbözteti a Hunters Internationalt inkább adatzsaroló entitásként.

A zsarolóprogram a titkosításból kizárandó fájlkiterjesztéseket, fájlneveket és könyvtárakat tartalmazza. Ezenkívül parancsokat futtat az adatok helyreállításának megakadályozására, és leállítja azokat a folyamatokat, amelyek potenciálisan megzavarhatják a titkosítási folyamatot.

Noha a Hive-t az egyik legveszélyesebb zsarolóvírus-csoportként ismerték, továbbra is bizonytalan, hogy a Hunters International ugyanolyan vagy még félelmetesebbnek bizonyul-e.