Los actores de amenazas detrás de un nuevo grupo de ransomware llamado Hunters International han adquirido el código fuente y la infraestructura de la operación Hive, ahora desmantelada, para poner en marcha sus propios esfuerzos en el panorama de amenazas.
“Parece que el liderazgo del grupo Hive tomó la decisión estratégica de cesar sus operaciones y transferir sus activos restantes a otro grupo, Hunters International”, dijo Martin Zugec, director de soluciones técnicas de Bitdefender, en un informe publicado la semana pasada.
Hive, que en su día fue una prolífica operación de ransomware como servicio (RaaS), fue desmantelada como parte de una operación coordinada de aplicación de la ley en enero de 2023.
Si bien es común que los actores de ransomware se reagrupen, cambien de marca o disuelvan sus actividades después de tales incautaciones, lo que también puede suceder es que los desarrolladores principales puedan pasar el código fuente y otra infraestructura en su posesión a otro actor de amenazas.
Los informes sobre Hunters International como un posible cambio de marca de Hive surgieron el mes pasado después de que se identificaran varias similitudes de código entre las dos cepas. Desde entonces, se ha cobrado cinco víctimas hasta la fecha.
Sin embargo, los actores de amenazas detrás de él han tratado de disipar estas especulaciones, afirmando que compró el código fuente y el sitio web de Hive a sus desarrolladores.
“El grupo parece poner un mayor énfasis en la exfiltración de datos”, dijo Zugec. “En particular, a todas las víctimas denunciadas se les exfiltraron datos, pero no a todas se les encriptaron los datos”, lo que convierte a Hunters International en un grupo de extorsión de datos.
El análisis de Bitdefender de la muestra de ransomware revela sus fundamentos basados en Rust, un hecho confirmado por la transición de Hive al lenguaje de programación en julio de 2022 por su mayor resistencia a la ingeniería inversa.
“En general, a medida que el nuevo grupo adopta este código de ransomware, parece que han apuntado a la simplificación”, dijo Zugec.
“Han reducido el número de parámetros de la línea de comandos, han simplificado el proceso de almacenamiento de claves de cifrado y han hecho que el malware sea menos detallado en comparación con las versiones anteriores”.
El ransomware, además de incorporar una lista de exclusión de extensiones de archivo, nombres de archivo y directorios que deben omitirse del cifrado, ejecuta comandos para evitar la recuperación de datos y finalizar una serie de procesos que podrían interferir con el proceso.
“Si bien Hive ha sido uno de los grupos de ransomware más peligrosos, queda por ver si Hunters International demostrará ser igual o incluso más formidable”, señaló Zugec.
“Este grupo emerge como un nuevo actor de amenazas que comienza con un conjunto de herramientas maduro y parece ansioso por mostrar sus capacidades, [pero] se enfrenta a la tarea de demostrar su competencia antes de que pueda atraer afiliados de alto calibre”.