15/11/23
Новая группа хакеров, известная как Hunters International, вступила на арену киберугроз, приобретя исходный код и инфраструктуру у недавно ликвидированной группировки Hive, известной своей деятельностью в сфере вымогательского ПО-как-услуги (Ransomware-as-a-Service, RaaS). Hive, когда-то одна из самых активных группировок в этой области, была ликвидирована в январе 2023 года в ходе координированной операции правоохранительных органов.
По данным компании Bitdefender, руководство Hive приняло решение прекратить свою деятельность и передать свои активы Hunters International. При этом новая группа уделяет больше внимания эксфильтрации данных. В отличие от Hive, которая чаще шифровала данные своих жертв, Hunters International фокусируется на вымогательстве данных, при этом не всегда прибегая к шифрованию, пишут в Securitylab.
Первым на сходства шифровальщиков обратил внимание специалист, известный под псевдонимом rivitna. Тогда он предположил, что имеет дело с обновлённой версией Hive, а не отдельной угрозой. Его коллега, Уилл Томас, также выявил в коде Hunters International фрагменты, характерные для Hive. Анализ показал, что сходство с устаревшей программой достигает 60%. Сами хакеры опровергли информацию о сходстве, заявив, что приобрели код у разработчиков Hive: «Мы приобрели весь исходный код, а также их веб-сайт и оригинальные версии на Golang и C».
Bitdefender провела анализ образца программы-вымогателя Hunters International и выявила, что он основан на языке программирования Rust, который Hive начала использовать в июле 2022 года для усиления защиты от реверс-инжиниринга. Такой переход подчеркивает стремление новой группы к упрощению и эффективности своего вредоносного ПО, уменьшая количество параметров командной строки и упростив процесс хранения ключа шифрования.
В дополнение к этому, программа-вымогатель Hunters International включает список исключений — расширений файлов, имен и каталогов, которые не подлежат шифрованию. Программа также выполняет команды для предотвращения восстановления данных и завершает процессы, которые могут помешать работе вымогателя.
Перед Hunters International стоит задача доказать свою компетентность в новой роли, чтобы привлечь более сильных партнёров среди других киберпреступников. Несмотря на то, что Hive была одной из наиболее опасных групп вымогателей, пока неясно, насколько мощной окажется Hunters International.
