De bedreigingsactoren achter een nieuwe ransomwaregroep hebben gebeld Jagers Internationaal heeft de broncode en infrastructuur van de inmiddels ontmantelde Hive-operatie overgenomen om zijn eigen inspanningen in het dreigingslandschap een impuls te geven.
“Het lijkt erop dat de leiding van de Hive-groep de strategische beslissing heeft genomen om hun activiteiten stop te zetten en hun resterende activa over te dragen aan een andere groep, Hunters International”, zei Martin Zugec, directeur technische oplossingen bij Bitdefender, in een rapport dat vorige week werd gepubliceerd.
Hive, ooit een productieve ransomware-as-a-service (RaaS)-operatie, werd in januari 2023 offline gehaald als onderdeel van een gecoördineerde wetshandhavingsoperatie.
Hoewel het gebruikelijk is dat ransomware-actoren na dergelijke aanvallen hun activiteiten hergroeperen, een nieuwe naam geven of ontbinden, kan het ook gebeuren dat de kernontwikkelaars de broncode en andere infrastructuur in hun bezit kunnen doorgeven aan een andere bedreiging.
Rapporten over Hunters International als een mogelijke rebranding van Hive doken vorige maand op nadat verschillende code-overeenkomsten tussen de twee stammen waren geïdentificeerd. Sindsdien heeft het tot nu toe vijf slachtoffers geëist.
De dreigingsactoren erachter hebben echter geprobeerd deze speculaties te verdrijven door te beweren dat zij de broncode en website van Hive van hun ontwikkelaars hebben gekocht.
“De groep lijkt een grotere nadruk te leggen op data-exfiltratie”, zei Zugec. “Opmerkelijk is dat van alle gerapporteerde slachtoffers de gegevens werden geëxfiltreerd, maar dat de gegevens niet allemaal werden versleuteld”, waardoor Hunters International meer een data-afpersingsgroep werd.
Bitdefender’s analyse van het ransomware-voorbeeld onthult de op Rust gebaseerde basis, een feit dat wordt bevestigd door de overgang van Hive naar de programmeertaal in juli 2022 vanwege de toegenomen weerstand tegen reverse engineering.
“Over het algemeen lijkt het erop dat, nu de nieuwe groep deze ransomware-code adopteert, ze naar vereenvoudiging hebben gestreefd”, aldus Zugec.
“Ze hebben het aantal opdrachtregelparameters verminderd, het opslagproces voor encryptiesleutels gestroomlijnd en de malware minder uitgebreid gemaakt in vergelijking met eerdere versies.”
De ransomware bevat niet alleen een uitsluitingslijst met bestandsextensies, bestandsnamen en mappen die moeten worden weggelaten bij de codering, maar voert ook opdrachten uit om gegevensherstel te voorkomen en beëindigt een aantal processen die mogelijk het proces kunnen verstoren.
“Hoewel Hive een van de gevaarlijkste ransomwaregroepen is, valt het nog te bezien of Hunters International net zo of zelfs nog formidabeler zal zijn”, aldus Zugec.
“Deze groep komt naar voren als een nieuwe dreigingsactoren, beginnend met een volwassen toolkit en lijkt erop gebrand haar capaciteiten te tonen. [but] staat voor de taak om zijn competentie aan te tonen voordat het affiliates van hoog kaliber kan aantrekken.”
