Эксперты обнаружили новую RaaS-угрозу Hunters International, использующую исходный код известного вымогателя Hive. Специалисты предполагают, что группировка могла провести «ребрендинг» и возобновила активность под другой вывеской.
ИБ-эксперт и реверс-инженер, известный под псевдонимом rivitna, первым проанализировал образец малвари Hunters International и обнаружил сходство с кодом, который использовался в атаках шифровальщика Hive. Фактически rivitna пришел к выводу, что малварь Hunters International — это шифровальщик Hive версии 6.
Другой ИБ-специалист, Уилл Томас, так же пишет в X (бывший Twitter), что в коде Hunters International он обнаружил «несколько строк, повторяющих код шифровальщика Hive». При более детальном рассмотрении вредоноса исследователь выявил и другие совпадения и сходства в коде, и пришел к выводу, что тот более чем на 60% совпадает с кодом Hive.
При этом издание Bleeping Computer отмечает, что представители Hunters International отвергают эти заявления исследователей, заявляя, что они просто приобрели исходный код шифровальщика у разработчиков Hive.
«Все исходные коды Hive, включая сайт и старые версии на Golang и C, были проданы, а мы являемся их покупателями», — заявляет группировка.
Хакеры утверждают, что в коде Hive было «много ошибок, и в некоторых случаях они приводили к невозможности расшифровки данных», но теперь эти баги якобы исправлены.
Кроме того, Hunters International говорят, что шифрование данных не является их основной целью, и вместо этого они сосредоточены на краже данных, которые затем используются в качестве рычага давления при вымогательстве выкупа у жертв.
Как отмечает MalwareHunterTeam, на сайте Hunters International можно найти ряд сообщений, в которых хакеры пытаются донести до публики, что они занимаются серьезными делами, а «охота» за жертвами и вымогательство являются их основными целями.
Журналисты сообщают, что на данный момент на сайте группировки опубликована информация только об одной жертве — школе в Великобритании, откуда злоумышленники якобы украли почти 50 000 файлов, содержащих информацию об учениках и учителях, а также учетные данные.
Пока неясно, продали ли представители Hive исходные коды, как утверждают теперь Hunters International. Однако деятельность Hive была прекращена в начале 2023 года, когда стало известно, что правоохранительные органы проникли в инфраструктуру Hive и в течение шести месяцев, начиная с июля 2022 года, наблюдали за деятельностью группы.
По данным ФБР, вымогатели взломали более 1300 компаний и с помощью вымогательства получили от пострадавших около 100 млн долларов США.