Bitdefender araştırmacıları ve siber güvenlik topluluğu, özellikle yetkililer tarafından herhangi bir tutuklama bildirilmediği göz önüne alındığında, Hunters International’ın Hive Ransomware’in yeniden canlandırılması veya halefi olabileceğini düşünüyor.
En ünlü küresel fidye yazılımı operatörlerinden biri olan Hive, 1.300’den fazla şirketi hedef aldı ve 100 milyon dolar fidye ödemesi topladı. Ancak öyleydi sökülmüş Ocak 2023’te FBI ile Hollanda ve Almanya’daki kolluk kuvvetlerinin ortak operasyonuyla.”
Ancak grubun gizli, ulusötesi operasyonları nedeniyle o dönemde herhangi bir tutuklama yapılmadı. Bitdefender’ın araştırmasına göre grup, Hunters International adında yeni bir isimle faaliyetlerine yeniden başlamış gibi görünüyor.
Bitdefender’ın Blog yazısı Hive’ın liderliğinin stratejik olarak operasyonları durdurduğunu ve kalan varlıklarını Hunters International’a devrettiğini ortaya çıkardı. Bu bilgi ilk olarak güvenlik araştırmacısı @rivitna2 tarafından bir raporda rapor edildi. postalamak 20 Ekim 2023’te X’te (eski adıyla Twitter).
“#Hive geri döndü! Artık #Hunters International oldular!”
Güvenlik araştırmacısı Will Thomas @BushidoToken ayrıca her iki grubun kodları arasında şaşırtıcı benzerlikler ve kod örtüşmeleri buldu. Thomas bildirildiğine göre her iki set arasında %60’lık bir eşleşme buldu.
“Hive fidye yazılımının FBI tarafından ortadan kaldırılmasından bu yana, operatörlerin bir sonraki projelerini geliştirmekle meşgul olduğu görülüyor: Hunters International. Çoklu kod örtüşmeleri ve benzerlikler Hive ve Hunter’ları birbirine bağlıyor; araştırmama göre en az +%60 eşleşme 🔍 h/t @rivitna2.”
Bu keşifler Hunters International’ın Hive’ın yeniden markalanmış bir versiyonu olduğunu doğruluyor gibi görünse de grup bu varsayımları şaşırtıcı bir şekilde çürüttü. Hunters International, Hive’ın altyapısını ve kaynak kodunu alıp düzelttikten sonra oluşturulmuş bağımsız bir varlık olduklarını savunuyor.
Tercihleri veri şifreleme yerine veri sızdırma yönündeydi ve Hive’ın ortadan kaldırılması onlara bu yolu takip etmek için ideal bir fırsat sağladı.
Grup, “Web sitesi ve eski Golang ve C sürümleri de dahil olmak üzere tüm Hive kaynak kodları satıldı ve bunları satın alan da biziz” dedi.
Bu fırsatçı grup belirli bölgelere veya sektörlere odaklanmıyor. Öncelikle hastaneler de dahil olmak üzere Amerika Birleşik Devletleri, İngiltere, Almanya ve Namibya’daki mağdurları hedef alıyorlar. Grup basit bir yaklaşım benimsiyor çünkü daha az komut satırı parametresi kullanıyor, şifreleme anahtarı depolama sürecini kolaylaştırıyor ve tercih edilen kötü amaçlı yazılım daha az ayrıntılıdır.
Ekip, Rust dilindeki fidye yazılımını kullanarak Hizmet Olarak Fidye Yazılımı sunuyor. Her dosyaya şifreleme anahtarını yerleştirmedikleri için yaklaşımları oldukça benzersizdir. Bunun yerine, dosya şifreleme için bellekte iki anahtar seti oluştururlar ve her ikisini de .key uzantısıyla şifrelenmiş sürücünün kökü olarak saklarlar.
Bitdefender’ın amiral gemisi güvenlik platformu GravityZone tarafından tanımlanan fidye yazılımı ailesinin Trojan.Ransom.Hunters olduğu belirlendi.. Ödeme yöntemlerine gelince, kurbanların fidye notunda verilen kimlik bilgilerini kullanarak bir sohbet portalına erişmeleri gerekiyor.
Hive, Hunters International olarak yeniden ortaya çıksın ya da çıkmasın, fidye yazılımı gruplarının sürekli olarak geliştiğine ve yeni teknikler geliştirdiğine şüphe yok. Bu nedenle, tehditleri zamanında azaltmak için genişletilmiş uluslararası işbirliği ve güçlü siber güvenlik önlemlerinin uygulanması büyük önem taşıyor.
İLGİLİ MAKALELER
- FIN8 Yeni Sardonik Arka Kapıyla Yeniden Ortaya Çıkıyor
- Tüm sabit sürücüleri şifreleyen Mamba fidye yazılımı yeniden ortaya çıkıyor
- BBTok Kötü Amaçlı Yazılım Geri Dönüyor, Brezilya ve Meksika’daki 40’tan Fazla Bankayı Hedefliyor
- ABD Öncülüğündeki 40 Ülkeden Oluşan İttifak Fidye Yazılımı Tehdidiyle Mücadele Etmek İçin Birleşiyor
- RansomedVC Fidye Yazılımı Çıkıyor ve Tüm Altyapısını Satıyor