Les acteurs de la menace derrière un nouveau groupe de ransomwares appelé Chasseurs internationaux ont acquis le code source et l’infrastructure de l’opération Hive, désormais démantelée, pour lancer ses propres efforts dans le paysage des menaces.
« Il semble que la direction du groupe Hive ait pris la décision stratégique de cesser ses activités et de transférer ses actifs restants à un autre groupe, Hunters International », a déclaré Martin Zugec, directeur des solutions techniques chez Bitdefender. dit dans un rapport publié la semaine dernière.
Hive, autrefois une opération prolifique de ransomware-as-a-service (RaaS), a été démantelé dans le cadre d’une opération coordonnée d’application de la loi en janvier 2023.
S’il est courant que les auteurs de ransomwares regroupent, changent de nom ou interrompent leurs activités à la suite de telles saisies, il peut également arriver que les principaux développeurs puissent transmettre le code source et d’autres infrastructures en leur possession à un autre acteur menaçant.
Des rapports sur Hunters International en tant que possible changement de nom de Hive ont fait surface le mois dernier après que plusieurs similitudes de code aient été identifiées entre les deux souches. Depuis, elle a fait cinq victimes.
Les auteurs de la menace ont toutefois cherché à dissiper ces spéculations, affirmant avoir acheté le code source et le site Web de Hive à ses développeurs.
« Le groupe semble mettre davantage l’accent sur l’exfiltration de données », a déclaré Zugec. « Notamment, toutes les victimes signalées ont vu leurs données exfiltrées, mais toutes n’ont pas vu leurs données cryptées », faisant de Hunters International davantage un groupe d’extorsion de données.
L’analyse de l’échantillon de ransomware par Bitdefender révèle ses fondements basés sur Rust, un fait confirmé par la transition de Hive vers le langage de programmation en juillet 2022 pour sa résistance accrue à l’ingénierie inverse.
« En général, à mesure que le nouveau groupe adopte ce code de ransomware, il semble qu’il ait visé une simplification », a déclaré Zugec.
« Ils ont réduit le nombre de paramètres de ligne de commande, rationalisé le processus de stockage des clés de chiffrement et rendu le malware moins verbeux par rapport aux versions précédentes. »
Le ransomware, en plus d’incorporer une liste d’exclusion d’extensions de fichiers, de noms de fichiers et de répertoires à exclure du cryptage, exécute des commandes pour empêcher la récupération des données et mettre fin à un certain nombre de processus susceptibles d’interférer avec le processus.
« Bien que Hive soit l’un des groupes de ransomwares les plus dangereux, il reste à voir si Hunters International se révélera tout aussi redoutable, voire plus redoutable », a noté Zugec.
« Ce groupe apparaît comme un nouvel acteur menaçant, disposant d’une boîte à outils mature et semble désireux de montrer ses capacités », [but] a la tâche de démontrer sa compétence avant de pouvoir attirer des affiliés de haut calibre.