Es posible que el FBI haya interrumpido con éxito la destructiva operación de ransomware Hive a principios de este año, pero el código de malware del grupo continúa presentando una amenaza para las organizaciones de todo el mundo.
En octubre, el análisis de un investigador de seguridad de un ransomware utilizado por un nuevo grupo llamado Hunters International mostró superposiciones sustanciales de código con el ransomware Hive. Un análisis posterior realizado por Bitdefender encontró las mismas similitudes, lo que llevó a los investigadores del proveedor de seguridad a concluir que los operadores de Hive han entregado su joya de la corona a otro actor de amenazas.
¿Una decisión estratégica sobre la Dark Web?
"Parece que el liderazgo del grupo Hive tomó la decisión estratégica de cesar sus operaciones y transferir sus activos restantes a otro grupo, Hunters International", dijo Bitdefender en un su informe más reciente . "Si bien Hive ha sido uno de los grupos de ransomware más peligrosos, queda por ver si Hunters International resultará igual o incluso más formidable".
Hive era uno de los grupos de ransomware más activos en ese momento, el FBI, en colaboración con sus homólogos de Alemania y los Países Bajos, pirateó la infraestructura del grupo y lo neutralizó sistemáticamente durante un período de siete meses.
Durante ese tiempo, los investigadores capturó más de 300 claves de descifrado de los operadores de Hive y los entregó a las víctimas que estaban bajo ataque activo, ahorrándoles una pérdida acumulada de 130 millones de dólares. Los investigadores también encontraron, y entregaron, 1,000 claves de descifrado adicionales asociadas con víctimas de ataques anteriores del grupo Hive. El FBI y sus socios tomaron el control de los sitios web y servidores que Hive estaba utilizando en ese momento, cerrando efectivamente sus capacidades operativas.
Amenaza emergente
En los meses transcurridos desde entonces, los operadores de Hive parecen haber transferido su código a Hunters International, un grupo de amenazas con un número relativamente bajo de víctimas en este momento pero con un conjunto de herramientas maduro y un aparente entusiasmo por mostrar sus capacidades.
“La reputación juega un papel fundamental en el modelo de ransomware como servicio, y después de las interrupciones y la violación de la ley durante meses por parte del grupo de ransomware Hive, Hunters International enfrenta la tarea de demostrar su competencia antes de poder atraer software de alto calibre. afiliados”, dijo Bitdefender.
El actor de amenazas detrás de Hunters International ha dejado en claro que no es una versión renombrada de Hive sino que es un grupo independiente que utiliza malware e infraestructura de Hive. La evidencia apunta a que ese es efectivamente el caso, dijo Bitdefender.
El objetivo principal del grupo, por ejemplo, parece ser la extorsión mediante la filtración de datos en lugar del cifrado de datos, que es diferente de la operación Hive. La lista de víctimas de Hunter International, que incluye organizaciones en EE. UU., Reino Unido, Alemania y Namibia, sugiere que sus ataques hasta ahora son oportunistas más que dirigidos, otra señal de un grupo que todavía está encontrando su camino en el espacio del ransomware.
El análisis del malware realizado por Bitdefender también muestra que Hunter International está utilizando el registro, una clara indicación de que el grupo ha adoptado el código de otra persona, dice Martin Zugec, director de soluciones técnicas de Bitdefender en comentarios a Dark Reading.
“Cuando un nuevo desarrollador, como el grupo Hunters, adquiere o hereda código, habilitar el registro y la depuración es un paso crucial para comprender y mejorar ese código. El registro ofrece información sobre cómo funciona el código, rastrea errores y ayuda a depurar y mejorar el malware”.
Vender malware: una compensación para reducir el riesgo
Zugec dice que la decisión de Hive de vender su malware apunta al desafío que a menudo enfrentan los grupos criminales cuando intentan recuperarse de una eliminación exitosa.
“A diferencia de una empresa legítima que podría recuperarse a partir de copias de seguridad, para los actores de amenazas, la restauración no se trata solo de sistemas; se trata de evadir consecuencias legales y reconstruir una operación ilegal”, afirma. “Es un proceso que requiere mucho tiempo y esfuerzo. Por lo tanto, la decisión de vender su código podría surgir de la creencia de que el esfuerzo y los recursos necesarios para reiniciar y evadir la aplicación de la ley podrían no valer la pena”.
Zugec dice que es difícil determinar el precio que los actores de Hive podrían haber querido (o que Hunters International pagó) por el código de ransomware. Normalmente, una operación afiliada como Hunters estaría dispuesta a pagar una prima por un ransomware con buena reputación por su velocidad de recuperación, altas tasas de recuperación de datos y resistencia a los descifradores.
“El valor del código se extiende más allá de sus capacidades técnicas; incluye la confianza y la reputación establecida del ransomware en la comunidad cibercriminal”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/hunters-international-cyberattackers-hive-ransomware
