Έχει εμφανιστεί μια νέα επιχείρηση ransomware-as-a-service με το όνομα Hunters International, που φαίνεται να χρησιμοποιεί κώδικα του ransomware Hive. Αυτό κάνει μερικούς να πιστεύουν ότι η παλιά συμμορία Hive έχει ξαναρχίσει την κακόβουλη δραστηριότητά της με άλλη ονομασία.
Αυτή η θεωρία υποστηρίζεται από την ανάλυση του νέου encryptor που αποκαλύπτει πολλαπλές επικαλύψεις κώδικα μεταξύ των δύο συμμοριών ransomware.
Πιο συγκεκριμένα, ο αναλυτής κακόβουλου λογισμικού και reverse engineer, rivitna, ο οποίος εντόπισε για πρώτη φορά τον νέο encryptor, κατέληξε στο συμπέρασμα ότι το κακόβουλο λογισμικό Hunters International ήταν δείγμα της έκδοσης 6 του Hive ransomware.
Επίσης, ο ερευνητής ασφαλείας Will Thomas ανέφερε ότι βρήκε “ορισμένα ίδια ransomware strings με του Hive” στον κώδικα του Hunters International. Συγκεκριμένα, ο ερευνητής ανακάλυψε επικαλύψεις κώδικα και ομοιότητες που ταιριάζουν με περισσότερο από το 60% του κώδικα του Hive ransomware.
Δείτε επίσης: Seiko: Η επίθεση από το BlackCat ransomware οδήγησε σε παραβίαση δεδομένων
Ωστόσο, η ομάδα Hunters International αρνείται τους “ισχυρισμούς” των ερευνητών λέγοντας ότι είναι μια νέα ομάδα ransomware που αγόρασε τον source code του encryptor από τους προγραμματιστές του Hive.
“Όλοι οι Hive source codes πωλήθηκαν, συμπεριλαμβανομένου του ιστότοπου και των παλιών εκδόσεων Golang και C και εμείς είμαστε αυτοί που τους αγοράσαμε“, λέει η συμμορία Hunters International.
Η Hive International ισχυρίζεται ότι ο κώδικας της Hive περιείχε “πολλά λάθη που εμπόδιζαν την αποκρυπτογράφηση σε ορισμένες περιπτώσεις“, αλλά τα διόρθωσαν.
Η νέα συμμορία ισχυρίζεται ότι η κρυπτογράφηση δεν είναι ο κύριος στόχος. Η ομάδα ενδιαφέρεται πιο πολύ για την κλοπή δεδομένων για να εκβιάζουν τα θύματα να πληρώσουν λύτρα.
Hunters International encryptor
Σύμφωνα με το BleepingComputer, το ransomware της Hunters International προσαρτά την επέκταση “.LOCKED” στα μολυσμένα αρχεία. Επίσης, αφήνει σε κάθε κατάλογο ένα αρχείο με το όνομα “Contact Us.txt“, που περιέχει οδηγίες για επικοινωνία με τους hackers μέσω Tor, μέσω μιας σελίδας συνομιλίας που προστατεύεται από μια ειδική σύνδεση για κάθε θύμα.
Δείτε επίσης: Grupo GTD κυβερνοεπίθεση: “Χτυπήθηκε” από το Rorschach ransomware;
Προς το παρόν, ο ιστότοπος διαρροήες δεδομένων της ομάδας Hunters International αναφέρει μόνο ένα θύμα, ένα σχολείο στο Ηνωμένο Βασίλειο. Οι hackers ισχυρίζονται ότι έχουν κλέψει σχεδόν 50.000 αρχεία που αποτελούνται από δεδομένα για μαθητές και δασκάλους καθώς και από network και web credentials.
Hive ransomware
Η συμμορία πίσω από το Hive ransomware ήταν κάποτε πολύ ενεργή. Ωστόσο, οι επιχειρήσεις της ομάδας σταμάτησαν ξαφνικά μετά την κατάσχεση του ιστότοπου πληρωμών Tor και του site διαρροής δεδομένων στα πλαίσια μιας διεθνούς επιχείρησης τον Ιανουάριο. Το FBI είχε διεισδύσει στην υποδομή της συμμορίας και παρακολουθούσε τη δραστηριότητα για έξι μήνες, από τον Ιούλιο του 2022.
Σύμφωνα με το FBI, η συμμορία παραβίασε περισσότερες από 1.300 εταιρείες και έλαβε πληρωμές λύτρων περίπου 100 εκατομμυρίων δολαρίων.
Μετά την κατάσχεση, το FBI παρείχε περισσότερα από 1.300 κλειδιά αποκρυπτογράφησης σε θύματα του ransomware Hive, που είχαν κρυπτογραφηθεί πριν και μετά την πρόσβαση του FBI στα περιβάλλοντα του εισβολέα.
Δείτε επίσης: Η Κομητεία Rock διερευνά επίθεση ransomware
Οι συνηθισμένοι στόχοι του Hive ransomware ήταν επιχειρήσεις και οργανισμοί. Οι επιτιθέμενοι στόχευαν μεγάλες εταιρείες, κυβερνητικούς οργανισμούς, νοσοκομεία και άλλες κρίσιμες υποδομές.
Επιπλέον, οι επιτιθέμενοι στόχευσαν και μικρότερες επιχειρήσεις που δεν είχαν τα απαραίτητα προστατευτικά μέτρα. Αυτές οι επιθέσεις μπορούσαν να είναι πιο επιτυχημένες, καθώς οι μικρές επιχειρήσεις συχνά δεν έχουν τους ίδιους πόρους για την αντιμετώπιση των επιθέσεων ransomware.
Τέλος, οι οργανισμοί που διαχειρίζονται κρίσιμα δεδομένα, όπως τράπεζες και χρηματοπιστωτικά ιδρύματα, ήταν επίσης στόχοι του Hive ransomware.
Πηγή: www.bleepingcomputer.com
