Μια νέα επωνυμία ransomware-as-a-service με το όνομα Hunters International έχει εμφανιστεί χρησιμοποιώντας κώδικα που χρησιμοποιείται από τη λειτουργία ransomware Hive, οδηγώντας στην έγκυρη υπόθεση ότι η παλιά συμμορία έχει ξαναρχίσει τη δραστηριότητα υπό διαφορετική σημαία.
Αυτή η θεωρία υποστηρίζεται από την ανάλυση του νέου κρυπτογραφητή που αποκαλύπτει πολλαπλές επικαλύψεις κώδικα μεταξύ των δύο συμμοριών ransomware.
Κυνηγοί σε άρνηση
Ερευνητές ασφαλείας που αναλύουν ένα δείγμα του κακόβουλου λογισμικού Hunters International ανακάλυψαν μια εντυπωσιακή ομοιότητα με τον κώδικα που χρησιμοποιείται στις επιθέσεις ransomware Hive.
Πιο συγκεκριμένα, αναλυτής malware και reverse engineer
rivitna
ο οποίος εντόπισε πρώτος τον νέο κρυπτογραφητή, κατέληξε στο συμπέρασμα ότι το
κακόβουλο λογισμικό
Hunters International ήταν δείγμα της έκδοσης 6 του Hive ransomware.
Ο αναλυτής κακόβουλου λογισμικού συνδέει το Hunters International με το Hive ransomware
πηγή: rivitna
Σε απαντήσεις στο παραπάνω tweet, ερευνητής ασφάλειας
Ο Γουίλ Τόμας
κοινοποιεί ότι βρήκε “ορισμένες διατηρημένες σειρές ransomware Hive” στον κώδικα Hunters International.
Κοιτάζοντας πιο προσεκτικά το δείγμα του Hunters International, ο ερευνητής ανακάλυψε επικαλύψεις κώδικα και ομοιότητες που ταιριάζουν με περισσότερο από το 60% του κώδικα στο Hive ransomware.
Ερευνητής βρίσκει ισχυρή σύνδεση μεταξύ του Hunters Internation και του Hive ransomware
πηγή: Bushido Token
Ωστόσο, η ομάδα Hunters International αρνείται τους «ισχυρισμούς» των ερευνητών λέγοντας ότι πρόκειται για μια νέα υπηρεσία στη σκηνή του ransomware που αγόρασε τον πηγαίο κώδικα του κρυπτογραφητή από τους προγραμματιστές του Hive.
«Όλοι οι πηγαίοι κώδικες Hive πωλήθηκαν, συμπεριλαμβανομένου του ιστότοπου και των παλιών εκδόσεων Golang και C και εμείς είμαστε αυτοί που τους αγοράσαμε», λέει η συμμορία Hunters International.
Η Hive International ισχυρίζεται ότι ο κώδικας της Hive περιείχε «πολλά λάθη που προκάλεσαν μη διαθεσιμότητα για αποκρυπτογράφηση σε ορισμένες περιπτώσεις», αλλά το διόρθωσαν.
Επιπλέον, η νέα συμμορία λέει ότι η κρυπτογράφηση δεν είναι ο κύριος στόχος της λειτουργίας της, αλλά επικεντρώνεται στην κλοπή δεδομένων ως μοχλός όταν εκβιάζουν τα θύματα να πληρώσουν μια απαίτηση λύτρων.
Κρυπτογραφητής The Hunters International
Από την ανάλυση του BleepingComputer, ο κρυπτογραφητής της Hunters International προσαρτά την επέκταση “.LOCKED” στα επεξεργασμένα αρχεία.
Αρχεία κρυπτογραφημένα από το Hunters International ransomware
πηγή: BleepingComputer
Το κακόβουλο λογισμικό αφήνει σε κάθε κατάλογο ένα αρχείο απλού κειμένου με την ονομασία “Επικοινωνήστε μαζί μας.txt” με οδηγίες για το θύμα να επικοινωνήσει με τον εισβολέα μέσω Tor, μέσω μιας σελίδας συνομιλίας που προστατεύεται από μια σύνδεση σύνδεσης ειδικά για κάθε θύμα.
Σημείωμα λύτρων της Hunters International
πηγή: BleepingComputer
Προς το παρόν, ο ιστότοπός τους με διαρροή δεδομένων αναφέρει μόνο ένα θύμα, ένα σχολείο στο
Ηνωμένο Βασίλειο
, από όπου οι επιτιθέμενοι ισχυρίζονται ότι έχουν κλέψει σχεδόν 50.000 αρχεία που αποτελούνται από δεδομένα για μαθητές και δασκάλους μαζί με διαπιστευτήρια δικτύου και ιστού.
Το Hunters International ransomware διαρρέει δεδομένα ενός θύματος
πηγή: BleepingComputer
Όπως εντόπισε
MalwareHunterTeam
ο ιστότοπος διαρροής δεδομένων της Hunters International δείχνει μια σειρά από μηνύματα, πιθανότατα σε μια προσπάθεια να μοιραστούν με τον κόσμο ότι σημαίνουν σοβαρές επιχειρήσεις και ότι το “κυνήγι” των θυμάτων και ο εκβιασμός τους είναι ο κύριος σκοπός τους.
Μένει να δούμε τι μοίρα περιμένει η Hunters International, αλλά με ένα θύμα που δημοσιεύεται στον ιστότοπο διαρροής δεδομένων τους, η ομάδα δεν φαίνεται να είναι πολύ ενεργή.
Ο
θάνατος
του Hive ransomware
Το εάν το Hive ransomware πούλησε τον πηγαίο κώδικα σε άλλους κυβερνοεγκληματίες ή όχι, παραμένει άγνωστο προς το παρόν, αλλά οι επιχειρήσεις της συμμορίας σταμάτησαν ξαφνικά μετά την κατάσχεση του ιστότοπου πληρωμών Tor και διαρροής δεδομένων σε μια διεθνή επιχείρηση τον Ιανουάριο.
Η διακοπή της λειτουργίας ransomware, η οποία είχε 250 θυγατρικές, ήταν δυνατή αφού το FBI είχε διεισδύσει στην υποδομή της συμμορίας και παρακολουθούσε τη δραστηριότητα για έξι μήνες, από τον Ιούλιο του 2022.
Σύμφωνα με το FBI, η συμμορία παραβίασε περισσότερες από 1.300 εταιρείες και έλαβε
πληρωμές
λύτρων περίπου 100 εκατομμυρίων δολαρίων.
Η δραστηριότητα της υπηρεσίας της επέτρεψε να παρέχει περισσότερα από 1.300 κλειδιά αποκρυπτογράφησης σε θύματα ransomware Hive που είχαν κρυπτογραφηθεί πριν και μετά την πρόσβαση του FBI στα περιβάλλοντα του εισβολέα.
VIA:
bleepingcomputer.com