Хакеритете, които стоят зад нова група за рансъмуер, наречена Hunters International, са придобили изходния код и инфраструктурата от вече разпуснатата операция Hive, за да започнат собствени усилия в сферата на заплахите.

„Изглежда, че ръководството на групата Hive е взело стратегическо решение да прекрати дейността си и да прехвърли останалите си активи на друга група – Hunters International“, казва Мартин Цугек, директор технически решения в Bitdefender, в доклад, публикуван миналата седмица.

Hive, някога плодотворна операция за получаване на откуп като услуга (RaaS), беше ликвидирана като част от координирана операция на правоприлагащите органи през януари 2023 г.

Макар че е обичайно участниците в изнудвачески софтуер да се прегрупират, да променят марката си или да прекратяват дейността си след подобни конфискации, може да се случи и така, че основните разработчици да предадат изходния код и друга инфраструктура, с която разполагат, на друга  заплаха.

Миналия месец се появиха съобщения за Hunters International като възможна нова марка на Hive, след като бяха установени няколко сходства в кода на двата щама. Оттогава досега той е взел пет жертви.

Стоящите зад него лица обаче се опитаха да разсеят тези спекулации, като заявиха, че са закупили изходния код и уебсайта на Hive от неговите разработчици.

„Изглежда, че групата поставя по-голям акцент върху ексфилтрацията на данни“, казва Зугек. „Забележително е, че при всички докладвани жертви данните са били ексфилтрирани, но не при всички от тях те са били криптирани“, което прави Hunters International по-скоро група за изнудване за данни.

Анализът на Bitdefender на извадката на ransomware разкрива неговите основи, базирани на Rust – факт, който се потвърждава от преминаването на Hive към езика за програмиране през юли 2022 г. заради повишената му устойчивост на обратното инженерство.

„Като цяло, тъй като новата група възприема този код на рансъмуер, изглежда, че те са се стремили към опростяване“, казва Зугек.

„Те са намалили броя на параметрите на командния ред, оптимизирали са процеса на съхранение на ключовете за криптиране и са направили зловредния софтуер по-малко многословен в сравнение с по-ранните версии.“

Освен че включва списък за изключване на файлови разширения, имена на файлове и директории, които да бъдат пропуснати при криптирането, рансъмуерът изпълнява команди за предотвратяване на възстановяването на данни, както и за прекратяване на редица процеси, които потенциално биха могли да попречат.

„Въпреки че Hive беше една от най-опасните групи за рансъмуер, предстои да видим дали Hunters International ще се окаже също толкова или дори по-страшен“, отбелязва Зугец.

„Тази група се появява като нова заплаха, която започва със зрял инструментариум, и изглежда нетърпелива да покаже своите възможности, [но] е изправена пред задачата да демонстрира своята компетентност, преди да може да привлече висококвалифицирани партньори.“