Hunters International Ransomware ärver Hives verksamhet

En nyligen uppstått ransomware-grupp vid namn Hunters International har skaffat källkoden och infrastrukturen från den nu nedmonterade Hive-verksamheten och använder den som en grund för sina egna aktiviteter i hotlandskapet. Enligt säkerhetsforskare beslutade ledarna för Hive-gruppen strategiskt att stoppa sin verksamhet och överföra sina återstående tillgångar till en annan grupp, nämligen Hunters International.

Hive-gruppen, tidigare en produktiv ransomware-as-a-service (RaaS) operation, togs ner i januari 2023 som en del av en samordnad brottsbekämpande insats.

Efter sådana beslag är det vanligt att ransomware-aktörer omgrupperar, ändrar varumärken eller avbryter sin verksamhet. I vissa fall kan kärnutvecklare förmedla källkoden och annan infrastruktur till en annan hotaktör.

Rapporter som spekulerar i att Hunters International kan vara ett nytt varumärke av Hive dök upp förra månaden när kodlikheter identifierades mellan de två stammarna. Gruppen har förnekat dessa påståenden och hävdar att den förvärvat Hive-källkoden och webbplatsen från sina utvecklare. Hittills har Hunters International krävt fem offer.

Gammal hund, nya knep

Intressant nog verkar gruppen fokusera mer på dataexfiltrering, där alla rapporterade offer har upplevt dataexfiltrering, även om inte alla hade sin data krypterad. Detta utmärker Hunters International som mer av en datautpressningsenhet.

Ransomwaren innehåller en undantagslista med filtillägg, filnamn och kataloger som ska uteslutas från kryptering. Dessutom kör den kommandon för att hindra dataåterställning och avslutar processer som potentiellt kan störa krypteringsprocessen.

Även om Hive har varit känt som en av de farligaste ransomware-grupperna, är det fortfarande osäkert om Hunters International kommer att visa sig vara lika eller ännu mer formidabel.