Hunters International ランサムウェアが Hive の動作を継承
Hunters International という名前の最近出現したランサムウェア グループは、現在解体されている Hive の運用からソース コードとインフラストラクチャを入手し、それを脅威環境における独自の活動の基盤として使用しました。セキュリティ研究者らによると、ハイブグループのリーダーらは戦略的に活動を停止し、残りの資産を別のグループ、すなわちハンターズ・インターナショナルに移管することを決定したという。
Hive グループは、以前は多大なサービスとしてのランサムウェア (RaaS) 活動を行っていましたが、法執行機関の連携した取り組みの一環として 2023 年 1 月に閉鎖されました。
このような押収の後、ランサムウェア攻撃者は組織を再編成したり、ブランドを変更したり、活動を中止したりするのが通例です。場合によっては、コア開発者がソース コードやその他のインフラストラクチャを別の脅威アクターに渡す可能性があります。
Hunters International が Hive のリブランドである可能性があると推測するレポートが先月、2 つの株の間でコードの類似性が確認された際に浮上しました。同グループはこれらの主張を否定し、HiveのソースコードとWebサイトを開発者から入手したと主張した。現時点でハンターズ・インターナショナルは5人の犠牲者を出している。
老犬、新しいトリック
興味深いことに、このグループはデータの引き出しに重点を置いているようで、報告された被害者全員がデータの引き出しを経験していますが、全員がデータを暗号化されていたわけではありません。これにより、ハンターズ インターナショナルはデータ恐喝団体として区別されます。
ランサムウェアには、暗号化から除外されるファイル拡張子、ファイル名、ディレクトリの除外リストが組み込まれています。さらに、データの回復を妨げるコマンドを実行し、暗号化プロセスに干渉する可能性のあるプロセスを終了します。
Hive は最も危険なランサムウェア グループの 1 つとして知られていますが、Hunters International が同等かそれ以上に手強いと判明するかどうかは依然として不透明です。