Uma nova marca de ransomware-as-a-service chamada Hunters International surgiu utilizando código usado pela operação de ransomware Hive, levando à suposição válida de que o antigo grupo retomou a atividade sob uma bandeira diferente.
Essa teoria é apoiada pela análise do novo codificador, que revela várias sobreposições de código entre os dois grupos de ransomware.
Pesquisadores de segurança analisando uma amostra do malware Hunters International descobriram uma semelhança impressionante com o código utilizado nos ataques de ransomware Hive.
Mais especificamente, o analista de malware e engenheiro reverso rivitna, que primeiro detectou o novo codificador, chegou à conclusão de que o malware Hunters International era uma amostra da versão 6 do ransomware Hive.
Em respostas ao tweet acima, o pesquisador de segurança Will Thomas compartilha que encontrou "algumas strings de ransomware Hive mantidas" no código da Hunters International.
Olhando mais de perto a amostra da Hunters International, o pesquisador descobriu sobreposições de código e semelhanças que correspondem a mais de 60% do código no ransomware Hive.
No entanto, o grupo Hunters International nega as "alegações" dos pesquisadores, dizendo que são um novo serviço no cenário de ransomware que comprou o código-fonte do codificador dos desenvolvedores Hive.
“Todos os códigos-fonte da Hive foram vendidos, incluindo o site e as antigas versões Golang e C, e nós somos quem os comprou”, diz o grupo Hunters International.
Hive International afirma que o código da Hive continha “muitos erros que causavam indisponibilidade para decodificação em alguns casos”, mas eles o consertaram.
Além disso, a nova gangue diz que a criptografia não é o objetivo principal de sua operação, mas sim focar no roubo de dados como vantagem ao extorquir vítimas a pagar uma demanda de resgate.
A partir da análise do BleepingComputer, o codificador da Hunters International adiciona a extensão ".LOCKED" aos arquivos processados.
O malware deixa em cada diretório um arquivo de texto simples chamado "Contact Us.txt" com instruções para a vítima entrar em contato com o invasor através do Tor, por meio de uma página de chat que é protegida por um login específico para cada vítima.
No momento, o site de vazamento de dados deles lista apenas uma vítima, uma escola no Reino Unido, de onde os invasores afirmam ter roubado quase 50.000 arquivos contendo dados sobre alunos e professores, além de credenciais de rede e web.
Como observado por MalwareHunterTeam, o site de vazamento de dados da Hunters International mostra um conjunto de mensagens, provavelmente numa tentativa de compartilhar com o mundo que eles levam a sério o negócio e que "caçar" vítimas e extorqui-las é o seu principal objetivo.
Resta saber que destino aguarda a Hunters International, mas com uma vítima publicada em seu site de vazamento de dados, o grupo não parece estar muito ativo.
Se o ransomware Hive vendeu o código-fonte para outros criminosos cibernéticos ou não, permanece desconhecido no momento, mas as operações da gangue pararam abruptamente depois que seu site de pagamento Tor e de vazamento de dados foram apreendidos em uma operação internacional em janeiro.
A perturbação da operação de ransomware, que tinha 250 afiliados, foi possível após o FBI ter infiltrado a infraestrutura da gangue e monitorado a atividade por seis meses, desde julho de 2022.
Segundo o FBI, a gangue violou mais de 1.300 empresas e recebeu pagamentos de resgate de cerca de $100 milhões.
A atividade da agência permitiu que fossem fornecidas mais de 1.300 chaves de decodificação para vítimas do ransomware Hive que haviam sido criptografadas antes e depois que o FBI ganhou acesso aos ambientes dos invasores.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...