Hunters International adında yeni bir hizmet olarak fidye yazılımı markası, Hive fidye yazılımı operasyonu tarafından kullanılan kodu kullanarak ortaya çıktı ve bu, eski çetenin farklı bir bayrak altında faaliyetlerine devam ettiği yönünde geçerli bir varsayıma yol açtı.
Bu teori, iki fidye yazılımı çetesi arasında birden fazla kod çakışmasını ortaya çıkaran yeni şifreleyicinin analiziyle destekleniyor.
Avcılar inkar ediyor
Hunters International kötü amaçlı yazılımının bir örneğini analiz eden güvenlik araştırmacıları, Hive fidye yazılımı saldırılarında kullanılan kodla çarpıcı bir benzerlik keşfetti.
Daha spesifik olarak, kötü amaçlı yazılım analisti ve tersine mühendislik RivitnaYeni şifreleyiciyi ilk fark eden kişi, Hunters International kötü amaçlı yazılımının Hive fidye yazılımı sürüm 6’nın bir örneği olduğu sonucuna vardı.
kaynak: rivitna
Yukarıdaki tweet’e yanıt olarak güvenlik araştırmacısı Will Thomas Hunters International kodunda “bazı muhafaza edilen Hive fidye yazılımı dizeleri” bulduğunu paylaşıyor.
Hunters International örneğini daha yakından inceleyen araştırmacı, Hive fidye yazılımındaki kodun %60’ından fazlasıyla eşleşen kod örtüşmeleri ve benzerlikler keşfetti.
kaynak: Bushido Tokenı
Ancak Hunters International grubu, araştırmacıların fidye yazılımı sahnesinde şifreleyici kaynak kodunu Hive geliştiricilerinden satın alan yeni bir hizmet olduklarını söyleyerek “iddialarını” reddediyor.
Hunters International çetesi, “Web sitesi ve eski Golang ve C sürümleri de dahil olmak üzere tüm Hive kaynak kodları satıldı ve bunları satın alan da biziz” diyor.
Hive International, Hive’ın kodunun “bazı durumlarda şifre çözmenin kullanılamamasına neden olan birçok hata” içerdiğini ancak bunu düzelttiklerini iddia ediyor.
Dahası, yeni çete, operasyonlarının ana hedefinin şifreleme olmadığını, bunun yerine kurbanları fidye talebinde bulunmaya zorlamak için bir koz olarak veri çalmaya odaklandıklarını söylüyor.
Hunters International şifreleyici
BleepingComputer tarafından yapılan analize göre, Hunters International’ın şifreleyicisi işlenen dosyalara “.LOCKED” uzantısını ekler.
kaynak: BleepingComputer
Kötü amaçlı yazılım, her dizinde, kurbanın saldırganla Tor üzerinden, her kurbana özel oturum açma bilgileriyle korunan bir sohbet sayfası aracılığıyla iletişim kurması için talimatlar içeren “Contact Us.txt” adlı düz metin dosyası bırakır.
kaynak: BleepingComputer
Şu anda, veri sızıntısı sitesinde yalnızca bir kurban listeleniyor; saldırganlar, öğrenciler ve öğretmenlerle ilgili verilerin yanı sıra ağ ve web kimlik bilgilerinden oluşan yaklaşık 50.000 dosyayı çaldıklarını iddia ettikleri Birleşik Krallık’taki bir okul.
kaynak: BleepingComputer
Tespit edildiği gibi MalwareHunterTeamHunters International’ın veri sızıntısı sitesi, muhtemelen dünyayla ciddi bir iş anlamına geldiğini ve kurbanlar için “avlanmanın” ve onları şantaj yapmanın asıl amacı olduğunu paylaşma girişiminde bulunan bir dizi mesaj gösteriyor.
Hunters International’ı kaderinin nasıl beklediği henüz bilinmiyor ancak veri sızıntısı sitelerinde bir kurbanın yayınlanması nedeniyle grup pek aktif görünmüyor.
Hive fidye yazılımının sonu
Hive fidye yazılımının kaynak kodunu diğer siber suçlulara satıp satmadığı şu anda bilinmiyor ancak Tor ödemesinin ardından çetenin faaliyetleri aniden durdu ve Ocak ayında yapılan uluslararası bir operasyonda veri sızıntısı sitesi ele geçirildi.
250 bağlı kuruluşu olan fidye yazılımı operasyonunun kesintiye uğraması, FBI’ın çetenin altyapısına sızması ve Temmuz 2022’den bu yana altı ay boyunca faaliyeti izlemesiyle mümkün oldu.
FBI’a göre çete 1.300’den fazla şirkete sızdı ve yaklaşık 100 milyon dolarlık fidye ödemesi aldı.
Teşkilatın faaliyetleri, FBI’ın saldırganın ortamlarına erişmesinden önce ve sonra şifrelenen Hive fidye yazılımı kurbanlarına 1.300’den fazla şifre çözme anahtarı sağlamasına olanak tanıdı.