FBI, bu yılın başlarında yıkıcı Hive fidye yazılımı operasyonunu başarılı bir şekilde engellemiş olabilir, ancak grubun kötü amaçlı yazılım kodu, dünyanın her yerindeki kuruluşlar için tehdit oluşturmaya devam ediyor.
Ekim ayında, bir güvenlik araştırmacısının Hunters International adlı yeni bir grup tarafından kullanılan bir fidye yazılımına ilişkin analizi önemli kod çakışmaları gösterdi Hive fidye yazılımıyla. Bitdefender tarafından yapılan daha sonraki bir analiz de aynı benzerlikleri buldu ve güvenlik satıcısındaki önde gelen araştırmacılar, Hive operatörlerinin en önemli mücevherlerini başka bir tehdit aktörüne devrettiği sonucuna vardı.
Stratejik Bir Karanlık Web Kararı mı?
Bitdefender, “Görünüşe göre Hive grubunun liderliği, faaliyetlerini durdurma ve kalan varlıklarını başka bir gruba, Hunters International'a devretme yönünde stratejik bir karar almış.” dedi. son rapor. “Hive en tehlikeli fidye yazılımı gruplarından biri olsa da Hunters International'ın da aynı derecede, hatta daha zorlu olup olmayacağını henüz bilmiyoruz.”
Hive, FBI'ın Almanya ve Hollanda'daki benzerleriyle birlikte grubun altyapısına sızdığı dönemde en aktif fidye yazılımı gruplarından biriydi. sistematik olarak etkisiz hale getirdi yedi aylık bir süre boyunca.
Bu süre zarfında araştırmacılar 300'den fazla şifre çözme anahtarı ele geçirildi Hive operatörlerinden aldılar ve bunları aktif saldırı altındaki kurbanlara dağıtarak toplam 130 milyon dolarlık kayıptan kurtuldular. Müfettişler ayrıca daha önceki Hive grubu saldırılarının kurbanlarıyla ilişkili 1.000 şifre çözme anahtarı daha buldu ve teslim etti. FBI ve ortakları, Hive'ın o sırada kullandığı web sitelerinin ve sunucuların kontrolünü ele geçirdi ve operasyonel yeteneklerini etkin bir şekilde kapattı.
Ortaya Çıkan Tehdit
O zamandan bu yana geçen aylarda, Hive'ın operatörleri kodlarını, şu anda nispeten az sayıda kurbana sahip, ancak olgun bir alet takımına ve yeteneklerini gösterme konusunda görünür bir istekliliğe sahip bir tehdit grubu olan Hunters International'a devretmiş görünüyor.
“Hizmet olarak fidye yazılımı modelinde itibar kritik bir rol oynuyor ve Hive fidye yazılımı grubunun yaşadığı aksaklıklar ve aylarca süren yasa uygulama ihlallerinden sonra Hunters International, yüksek kalitede fidye yazılımı çekmeden önce yeterliliğini gösterme göreviyle karşı karşıya. bağlı kuruluşlar,” dedi Bitdefender.
Hunters International'ın arkasındaki tehdit aktörü, Hive'ın yeniden markalanmış bir versiyonu olmadıklarını, bunun yerine Hive kötü amaçlı yazılımını ve altyapısını kullanan bağımsız bir grup olduklarını açıkça belirtti. Bitdefender, kanıtların durumun gerçekten de böyle olduğuna işaret ettiğini söyledi.
Örneğin grubun ana odak noktası, Hive operasyonundan farklı olarak veri şifreleme yerine veri sızdırma yoluyla gasp yapmak gibi görünüyor. Hunter International'ın ABD, İngiltere, Almanya ve Namibya'daki kuruluşları içeren kurban listesi, şimdiye kadarki saldırılarının hedefli olmaktan çok fırsatçı olduğunu öne sürüyor; bu da bir grubun fidye yazılımı alanında hâlâ yolunu bulduğunun bir başka işareti.
Bitdefender'ın teknik çözümler direktörü Martin Zugec, Dark Reading'e yaptığı yorumda, Bitdefender'ın kötü amaçlı yazılım analizi aynı zamanda Hunter International'ın kayıt kullandığını gösteriyor; bu da grubun kodu başka birinden benimsediğinin açık bir göstergesi, diyor.
“Hunters grubu gibi yeni bir geliştirici kodu aldığında veya devraldığında, günlüğe kaydetme ve hata ayıklamayı etkinleştirmek, bu kodu anlamak ve geliştirmek için çok önemli bir adımdır. Günlük kaydı, kodun nasıl çalıştığına dair içgörüler sunar, hataları izler ve hata ayıklamaya ve iyileştirmeye yardımcı olur. kötü amaçlı yazılım.”
Kötü Amaçlı Yazılımları Satmak: Riski Azaltan Bir Takas
Zugec, Hive'ın kötü amaçlı yazılımını satma kararının, suç gruplarının başarılı bir kaldırma işleminin ardından toparlanmaya çalışırken sıklıkla karşılaştıkları zorluklara işaret ettiğini söylüyor.
“Yedeklemelerden kurtarılabilen meşru bir işletmenin aksine, tehdit aktörleri için restorasyon yalnızca sistemlerle ilgili değildir; yasal sonuçlardan kaçınmak ve yasa dışı bir operasyonu yeniden inşa etmekle ilgilidir” diyor. “Bu, zaman alıcı ve yoğun çaba gerektiren bir süreç. Bu nedenle, kodlarını satma kararı, yeniden başlatmak ve kolluk kuvvetlerinden kaçmak için gereken çaba ve kaynakların buna değmeyeceği inancından kaynaklanıyor olabilir.”
Zugec, Hive oyuncularının fidye yazılımı kodu için isteyebileceği veya Hunters International'ın ödediği bedeli belirlemenin zor olduğunu söylüyor. Tipik olarak, Hunters gibi bir bağlı kuruluş operasyonu, hızlı kurtarma, yüksek veri alma oranları ve şifre çözücülere karşı direnç konusunda iyi bir üne sahip olan fidye yazılımları için bir prim ödemeye hazır olacaktır.
“Kodun değeri, teknik yeteneklerinin ötesine geçiyor; fidye yazılımının siber suçlular topluluğundaki güvenini ve yerleşik itibarını da içeriyor.”