Hunters International Ransomware arver Hives virksomhet

En nylig oppstått løsepengevaregruppe ved navn Hunters International har fått tak i kildekoden og infrastrukturen fra den nå demonterte Hive-operasjonen, og bruker den som grunnlag for sine egne aktiviteter i trussellandskapet. I følge sikkerhetsforskere bestemte lederne av Hive-gruppen strategisk å stoppe virksomheten og overføre sine gjenværende eiendeler til en annen gruppe, nemlig Hunters International.

Hive-gruppen, tidligere en produktiv ransomware-as-a-service (RaaS)-operasjon, ble tatt ned i januar 2023 som en del av en koordinert rettshåndhevelsesinnsats.

Etter slike beslag er det vanlig at løsepengevareaktører omgrupperer, rebrander eller avbryter sine aktiviteter. I noen tilfeller kan kjerneutviklere overføre kildekoden og annen infrastruktur til en annen trusselaktør.

Rapporter som spekulerer i at Hunters International kan være en rebrand av Hive dukket opp forrige måned da kodelikheter ble identifisert mellom de to stammene. Gruppen har benektet disse påstandene og hevdet at den kjøpte Hive-kildekoden og nettstedet fra utviklerne. Per nå har Hunters International krevd fem ofre.

Gammel hund, nye triks

Interessant nok ser det ut til at gruppen fokuserer mer på dataeksfiltrering, med alle rapporterte ofre som har opplevd dataeksfiltrering, selv om ikke alle hadde dataene sine kryptert. Dette skiller Hunters International som mer en datautpressingsenhet.

Ransomware inneholder en ekskluderingsliste over filutvidelser, filnavn og kataloger som skal ekskluderes fra kryptering. I tillegg kjører den kommandoer for å hindre datagjenoppretting og avslutter prosesser som potensielt kan forstyrre krypteringsprosessen.

Mens Hive har vært kjent som en av de farligste løsepengevaregruppene, er det fortsatt usikkert om Hunters International vil vise seg å være like eller enda mer formidabel.