Los actores de amenazas detrás de un nuevo grupo de ransomware llamado Cazadores Internacionales ha adquirido el código fuente y la infraestructura de la operación Hive ahora desmantelada para iniciar sus propios esfuerzos en el panorama de amenazas.
«Parece que los líderes del grupo Hive tomaron la decisión estratégica de cesar sus operaciones y transferir sus activos restantes a otro grupo, Hunters International», dijo Martin Zugec, director de soluciones técnicas de Bitdefender. dicho en un informe publicado la semana pasada.
Hive, que alguna vez fue una prolífica operación de ransomware como servicio (RaaS), fue eliminado como parte de una operación policial coordinada en enero de 2023.
Si bien es común que los actores de ransomware se reagrupen, cambien el nombre o disuelvan sus actividades después de tales incautaciones, lo que también puede suceder es que los desarrolladores principales puedan pasar el código fuente y otra infraestructura en su poder a otro actor de amenazas.
Los informes sobre Hunters International como un posible cambio de marca de Hive surgieron el mes pasado después de que se identificaran varias similitudes de código entre las dos cepas. Desde entonces se ha cobrado cinco víctimas hasta la fecha.
Sin embargo, los actores de amenazas detrás de esto han tratado de disipar estas especulaciones, afirmando que compraron el código fuente y el sitio web de Hive a sus desarrolladores.
«El grupo parece poner mayor énfasis en la filtración de datos», dijo Zugec. «En particular, a todas las víctimas reportadas se les extrajeron datos, pero no a todas se les cifraron», lo que convierte a Hunters International en algo más que un grupo de extorsión de datos.
El análisis de Bitdefender de la muestra de ransomware revela sus fundamentos basados en Rust, un hecho confirmado por la transición de Hive al lenguaje de programación en julio de 2022 por su mayor resistencia a la ingeniería inversa.
«En general, a medida que el nuevo grupo adopta este código de ransomware, parece que han apuntado a la simplificación», dijo Zugec.
«Han reducido el número de parámetros de la línea de comandos, han simplificado el proceso de almacenamiento de claves de cifrado y han hecho que el malware sea menos detallado en comparación con versiones anteriores».
El ransomware, además de incorporar una lista de exclusión de extensiones de archivos, nombres de archivos y directorios que se omitirán del cifrado, ejecuta comandos para evitar la recuperación de datos y finalizar una serie de procesos que potencialmente podrían interferir con el proceso.
«Si bien Hive ha sido uno de los grupos de ransomware más peligrosos, queda por ver si Hunters International resultará igual o incluso más formidable», señaló Zugec.
«Este grupo emerge como un nuevo actor de amenazas que comienza con un conjunto de herramientas maduro y parece ansioso por mostrar sus capacidades. [but] «Se enfrenta a la tarea de demostrar su competencia antes de poder atraer afiliados de alto calibre».