Hunters International Ransomware paveldi avilio operacijas

Neseniai atsiradusi išpirkos reikalaujančių programų grupė, pavadinta Hunters International, gavo šaltinio kodą ir infrastruktūrą iš dabar išardytos „Hive“ operacijos, naudodama jį kaip savo veiklos pagrindą grėsmės aplinkoje. Saugumo tyrinėtojų teigimu, „Hive“ grupės lyderiai strategiškai nusprendė sustabdyti savo veiklą ir likusį turtą perleisti kitai grupei – „Hunters International“.

„Hive“ grupė, anksčiau vykdžiusi produktyvią „ransomware as-a-service“ (RaaS) operaciją, buvo panaikinta 2023 m. sausio mėn. vykdant suderintas teisėsaugos pastangas.

Po tokių priepuolių yra įprasta, kad išpirkos reikalaujantys veikėjai persigrupuoja, keičia prekės ženklą arba nutraukia savo veiklą. Kai kuriais atvejais pagrindiniai kūrėjai gali perduoti šaltinio kodą ir kitą infrastruktūrą kitam grėsmės veikėjui.

Ataskaitos, kuriose spėjama, kad „Hunters International“ gali būti „Hive“ prekės ženklo keitimas, pasirodė praėjusį mėnesį, kai buvo nustatyti kodų panašumai tarp dviejų padermių. Grupė paneigė šiuos teiginius, tvirtindama, kad „Hive“ šaltinio kodą ir svetainę įsigijo iš savo kūrėjų. Šiuo metu „Hunters International“ pareikalavo penkių aukų.

Senas šuo, nauji triukai

Įdomu tai, kad grupė daugiau dėmesio skiria duomenų išfiltravimui, nes visos aukos, apie kurias pranešta, patyrė duomenų išfiltravimą, nors ne visų jų duomenys buvo užšifruoti. Tai išskiria „Hunters International“ kaip daugiau duomenų prievartavimo subjektą.

Išpirkos reikalaujančioje programoje yra failų plėtinių, failų pavadinimų ir katalogų, kuriems netaikomas šifravimas, sąrašas. Be to, jis vykdo komandas, kurios trukdo atkurti duomenis ir nutraukia procesus, kurie gali trukdyti šifravimo procesui.

Nors „Hive“ buvo žinoma kaip viena pavojingiausių išpirkos reikalaujančių programų grupių, vis dar neaišku, ar „Hunters International“ pasirodys tokia pat ar net grėsmingesnė.