После падения Hive новая группа наследует и преобразует их арсенал.
Новая группа хакеров, известная как Hunters International, вступила на арену киберугроз, приобретя исходный код и инфраструктуру у недавно ликвидированной группировки Hive, известной своей деятельностью в сфере вымогательского ПО-как-услуги (Ransomware-as-a-Service, RaaS). Hive, когда-то одна из самых активных группировок в этой области, была ликвидирована в январе 2023 года в ходе координированной операции правоохранительных органов.
По данным компании Bitdefender, руководство Hive приняло решение прекратить свою деятельность и передать свои активы Hunters International. При этом новая группа уделяет больше внимания эксфильтрации данных. В отличие от Hive, которая чаще шифровала данные своих жертв, Hunters International фокусируется на вымогательстве данных, при этом не всегда прибегая к шифрованию.
Первым на сходства шифровальщиков обратил внимание специалист, известный под псевдонимом rivitna. Тогда он предположил, что имеет дело с обновлённой версией Hive, а не отдельной угрозой. Его коллега, Уилл Томас, также выявил в коде Hunters International фрагменты, характерные для Hive. Анализ показал, что сходство с устаревшей программой достигает 60%. Сами хакеры опровергли информацию о сходстве, заявив, что приобрели код у разработчиков Hive: «Мы приобрели весь исходный код, а также их веб-сайт и оригинальные версии на Golang и C».
Bitdefender провела анализ образца программы-вымогателя Hunters International и выявила, что он основан на языке программирования Rust, который Hive начала использовать в июле 2022 года для усиления защиты от реверс-инжиниринга. Такой переход подчеркивает стремление новой группы к упрощению и эффективности своего вредоносного ПО, уменьшая количество параметров командной строки и упростив процесс хранения ключа шифрования.
В дополнение к этому, программа-вымогатель Hunters International включает список исключений — расширений файлов, имен и каталогов, которые не подлежат шифрованию. Программа также выполняет команды для предотвращения восстановления данных и завершает процессы, которые могут помешать работе вымогателя.
Перед Hunters International стоит задача доказать свою компетентность в новой роли, чтобы привлечь более сильных партнёров среди других киберпреступников. Несмотря на то, что Hive была одной из наиболее опасных групп вымогателей, пока неясно, насколько мощной окажется Hunters International.
Одно найти легче, чем другое. Спойлер: это не темная материя