Hunters International adlı yeni ransomware qrupunun arxasında duran təhlükə aktyorları təhlükə mənzərəsində öz səylərini başlamaq üçün indi sökülən Hive əməliyyatından mənbə kodu və infrastruktur əldə ediblər.
Bitdefender-in texniki həllər üzrə direktoru Martin Zugec keçən həftə dərc olunan hesabatda “Görünür, Hive qrupunun rəhbərliyi öz fəaliyyətini dayandırmaq və qalan aktivlərini başqa bir qrup Hunters International-a köçürmək üçün strateji qərar qəbul edib” dedi.
Bir vaxtlar məhsuldar ransomware-as-a-service (RaaS) əməliyyatı olan Hive, 2023-cü ilin yanvarında koordinasiya edilmiş hüquq-mühafizə əməliyyatının bir hissəsi olaraq ləğv edildi.
Bu cür ələ keçirdikdən sonra ransomware aktyorlarının fəaliyyətini yenidən qruplaşdırmaq, rebrendinq etmək və ya ləğv etmək adi hal olsa da əsas tərtibatçılar mənbə kodunu və sahib olduqları digər infrastrukturu başqa bir təhlükə aktyoruna ötürə bilərlər.
Mümkün Hive rebrend kimi Hunters International haqqında hesabatlar keçən ay iki növ arasında bir neçə kod oxşarlığı müəyyən edildikdən sonra ortaya çıxdı. O vaxtdan bu günə qədər beş qurbanı olduğunu iddia etdi.
Bunun arxasında duran təhlükə aktyorları, Hive mənbə kodunu və veb saytını öz tərtibatçılarından aldığını bildirərək bu fərziyyələri dağıtmağa çalışdılar.
“Görünür, qrup məlumatların eksfiltrasiyasına daha çox diqqət yetirir” dedi Zugec. “Qeyd edək ki, bütün bildirilən qurbanların məlumatları sızdırılıb, lakin onların heç də hamısının məlumatları şifrələnməyib” Hunters İnternational-ı daha çox məlumat qəsb materialına çevirir.
Bitdefender-in ransomware nümunəsinin təhlili onun Rust əsaslı əsaslarını ortaya qoyur, bu, Hive-ın tərs mühəndisliyə artan müqavimətinə görə 2022-ci ilin iyulunda proqramlaşdırma dilinə keçidi ilə təsdiqlənmiş bir faktdır.
“Ümumiyyətlə, yeni qrup bu ransomware kodunu qəbul etdikcə, görünür ki, onlar sadələşdirməyi hədəfləyiblər”, – Zugec bildirib.
“Onlar komanda xətti parametrlərinin sayını azaldıb, şifrələmə açarının saxlanma prosesini sadələşdirib və zərərli proqramı əvvəlki versiyalarla müqayisədə daha az təfərrüatlı edib.”
Ransomware şifrələmədən çıxarılacaq fayl uzantılarının, fayl adlarının və qovluqların istisna siyahısını daxil etməklə yanaşı, məlumatların bərpasının qarşısını almaq və prosesə potensial olaraq müdaxilə edə biləcək bir sıra prosesləri dayandırmaq üçün əmrlər işlədir.
“Hive ən təhlükəli ransomware qruplarından biri olsa da Hunters International-ın eyni dərəcədə və ya daha dəhşətli olduğunu sübut etmək qalır” dedi Zugec.
“Bu qrup yetkin bir alət dəsti ilə başlayan yeni bir təhlükə aktyoru kimi ortaya çıxır və öz imkanlarını nümayiş etdirməyə can atır, [lakin] yüksək səviyyəli filialları cəlb etməzdən əvvəl öz səriştəsini nümayiş etdirmək vəzifəsi ilə üzləşir.”
