Újra akcióban a Hive néven ismert bűnszervezet

A korábban Hive néven ismert ransomware csoport valószínűsíthetően Hunters International név alatt szedi újra az áldozatait.

A Hunters International által készített malware elemzése során a biztonsági kutatók meglepő, nagy mennyiségű (60%-os) kódbeli hasonlóságot véltek felfedezni a Hive ransomware támadások során használt kóddal. Azonban a Hunters International csoport tagadja a kutatók “vádaskodását”, mondván, hogy ők csak megvásárolták a titkosító forráskódot a Hive fejlesztőitől.

A Hunters International fő célja nem az adatok titkosítása, hanem azok eltulajdonítása és zsarolásra való felhasználása annak érdekében, hogy az áldozatok kifizessék a bűnözők által követelt váltságdíjat. A BleepingComputer által végzett elemzés szerint a Hunters International titkosítója a feldolgozott fájlokhoz hozzáadja a “.LOCKED” kiterjesztést, valamint az utasításokat tartalmazó “Contact Us.txt” nevű szöveges fájlt beilleszti az összes mappába.

 

A Hunters International ransomware által titkosított fájlok. Forrás: BleepingComputer

 

A “Contact Us.txt” szövege. Forrás: BleepingComputer

A csoport egyelőre nem túl aktív. A Hunters International csoport szivárogtatási oldala jelenleg csak egy áldozatot listáz, egy brit iskolát, ahonnan állításuk szerint majdnem 50 000 fájlt loptak el. Ezek a fájlok a tanulók és tanárok adatait, valamint hálózati és web-hitelesítő adatokat tartalmaznak.

Az nem tisztázott, hogy a Hive ransomware eladta-e a forráskódját más kiberbűnözőknek vagy sem. A Hive csoport tevékenysége egy januári nemzetközi akció során hirtelen leállt, amikor lefoglalásra került a Tor fizetési-és adatszivárogtatási oldaluk. Az FBI beavatkozása lehetővé tette, hogy a Hive ransomware áldozatainak több, mint 1300 titkosítását feloldják, miután 2022 júliusától hat hónapon keresztül figyelemmel kísérték a támadók tevékenységét. Az FBI szerint a banda több, mint 1300 vállalatot támadott meg, és mintegy 100 millió dollár váltságdíjat szedett be.

(bleepingcomputer.com)