Μια νέα ομάδα ransomware που ονομάζεται Hunters International έχει αποκτήσει τον source code και την υποδομή του Hive ransomware (μια επιχείρηση που δεν λειτουργεί τώρα) και έχει ξεκινήσει τις δικές της επιθέσεις.
“Φαίνεται ότι η ηγεσία της ομάδας Hive πήρε τη στρατηγική απόφαση να σταματήσει τις δραστηριότητές της και να μεταφέρει τα εναπομείναντα assets της σε μια άλλη ομάδα, την Hunters International“, δήλωσε ο Martin Zugec, διευθυντής τεχνικών λύσεων της Bitdefender, σε μια έκθεση.
Το Hive ήταν κάποτε μια παραγωγική επιχείρηση ransomware-as-a-service (RaaS), αλλά σταμάτησε να λειτουργεί όταν οι αρχές επιβολής του νόμου συνεργάστηκαν για να το “διαλύσουν“, τον Ιανουάριο του 2023.
Δείτε επίσης: Η συμμορία LockBit ransomware διέρρευσε δεδομένα της Boeing
Τέτοιου είδους επιχειρήσεις καταστολής αναγκάζουν συνήθως τις ransomware συμμορίες να σταματήσουν τις δραστηριότητές τους ή να ανασυγκροτηθούν με διαφορετικό όνομα. Ωστόσο, σε ορισμένες περιπτώσεις μπορεί να μεταβιβάσουν τον source code και την υπόλοιπη υποδομή τους σε άλλον παράγοντα απειλής.
Αναφορές σχετικά με το Hunters International ransomware ως πιθανή μετονομασία του Hive εμφανίστηκαν τον περασμένο μήνα, αφού εντοπίστηκαν αρκετές ομοιότητες κώδικα μεταξύ των δύο ransomware.
Οι hackers πίσω από αυτό, ωστόσο, προσπάθησαν να διαλύσουν αυτές τις εικασίες, δηλώνοντας ότι αγόρασαν τον source code και τον ιστότοπο του Hive από τους προγραμματιστές του.
“Αυτή η ομάδα φαίνεται να δίνει μεγαλύτερη έμφαση στην κλοπή δεδομένων”, είπε ο Zugec. Ο ειδικός εξήγησε ότι όλα τα αναφερόμενα θύματα ήρθαν αντιμέτωπα με εξαγωγή δεδομένων, αλλά δεν υπήρξε κρυπτογράφηση των δεδομένων σε κάποιες περιπτώσεις. Επομένως, θα μπορούσαμε να πούμε ότι η Hunters International είναι περισσότερο μια ομάδα εκβιαστών παρά μια ransomware συμμορία (με την τυπική έννοια).
Η ανάλυση του δείγματος ransomware από την Bitdefender αποκαλύπτει ότι βασίζεται στη γλώσσα προγραμματισμού Rust. Το Hive ransomware είχε μεταβεί σε αυτή τη γλώσσα προγραμματισμού τον Ιούλιο του 2022, λόγω της ανθεκτικότητάς της στο reverse engineering.
Δείτε επίσης: Industrial & Commercial Bank of China (ICBC): “Χτυπήθηκε” από ransomware
“Γενικά, καθώς η νέα ομάδα υιοθετεί αυτόν τον κώδικα ransomware, φαίνεται ότι στοχεύει στην απλοποίηση“», είπε ο Zugec.
Οι hackers μείωσαν τον αριθμό των command line parameters, βελτίωσαν το encryption key storage process κλπ.
Το ransomware, εκτός από την ενσωμάτωση ενός exclusion list με επεκτάσεις αρχείων, ονόματα αρχείων και καταλόγους που δεν πρέπει να κρυπτογραφηθούν, εκτελεί εντολές για να αποτρέψει την ανάκτηση δεδομένων καθώς και να τερματίσει μια σειρά από διεργασίες που θα μπορούσαν ενδεχομένως να επηρεάσουν τη διαδικασία.
“Ενώ το Hive ήταν μια από τις πιο επικίνδυνες ομάδες ransomware, μένει να δούμε αν το Hunters International θα αποδειχθεί εξίσου ή ακόμα πιο τρομερό”, σημείωσε ο Zugec.
“Αυτή η ομάδα αναδεικνύεται ως ένας νέος παράγοντας απειλής ξεκινώντας με μια «ώριμη» εργαλειοθήκη και φαίνεται πρόθυμη να δείξει τις δυνατότητές της“.
Δείτε επίσης: Kyocera AVX (KAVX): Ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Οι πιθανές επιπτώσεις και οι κίνδυνοι που συνδέονται με αυτήν τη νέα ομάδα ransomware είναι πολλαπλοί και σοβαροί. Καταρχάς, η χρήση του κώδικα και της υποδομής του Hive από αυτήν την ομάδα Hunters International μπορεί να οδηγήσει σε αύξηση της απειλής των ransomware επιθέσεων γενικά.
Το Hive ransomware έδινε έμφαση στην αποφυγή του εντοπισμού από λύσεις ασφαλείας και η νέα ομάδα μπορεί να προσπαθήσει να το βελτιώσει για να το κάνει ακόμα πιο αποτελεσματικό και ανθεκτικό. Η νέα ομάδα ransomware θα μπορούσε να επιτύχει περισσότερες επιθέσεις και να παραμείνει ανενόχλητη για μεγαλύτερο χρονικό διάστημα.
Επιπλέον, η εμφάνιση μιας νέας ομάδας ransomware που χρησιμοποιεί τον κώδικα και την υποδομή του Hive μπορεί να οδηγήσει σε αύξηση των απαιτήσεων λύτρων. Οι επιθέσεις ransomware συνήθως συνοδεύονται από απαιτήσεις πληρωμής για την αποκατάσταση των δεδομένων ή την αποφυγή της δημοσιοποίησης κλεμμένων δεδομένων. Με την εμφάνιση μιας νέας ομάδας, οι απαιτήσεις λύτρων μπορεί να αυξηθούν, καθώς η ομάδα μπορεί να θεωρεί ότι οι επιθέσεις της είναι πιο αποτελεσματικές και δυσκολότερες στον εντοπισμό.
Πηγή: thehackernews.com
