FBI は今年初めに破壊的な Hive ランサムウェア作戦を阻止することに成功したかもしれませんが、同グループのマルウェア コードはあらゆる場所の組織に脅威を与え続けています。
XNUMX 月、セキュリティ研究者による、Hunters International という新しいグループが使用したランサムウェアの分析 かなりのコードの重複が見られました Hive ランサムウェアで。 Bitdefender によるその後の分析でも同様の類似点が見つかり、セキュリティ ベンダーの研究者らは、Hive オペレーターがその至宝を別の脅威アクターに渡したと結論付けました。
ダークウェブに関する戦略的な決定?
「ハイブ・グループの指導者は、事業を停止し、残りの資産を別のグループであるハンターズ・インターナショナルに譲渡するという戦略的決定を下したようだ」とビットディフェンダーは述べた。 最近の報告。 「Hive は最も危険なランサムウェア グループの XNUMX つですが、Hunters International が同等かそれ以上に手強いと判明するかどうかはまだわかりません。」
Hive は、FBI がドイツとオランダの関係者と協力して、当時最も活発なランサムウェア グループの XNUMX つであり、グループのインフラストラクチャをハッキングし、 それを組織的に無力化した XNUMXか月以上の期間にわたって。
その間に捜査員たちは、 300以上の復号キーを取得しました 積極的な攻撃を受けている被害者にそれらを引き渡し、被害者は累計 130 億 1,000 万ドルの損失を節約できました。 捜査官はまた、以前の Hive グループ攻撃の被害者に関連する追加の XNUMX 個の復号キーを発見し、引き渡しました。 FBI とそのパートナーは、Hive が当時使用していた Web サイトとサーバーの制御を掌握し、事実上、Hive の運用機能を停止しました。
新たな脅威
それから数か月で、Hive のオペレーターはコードを Hunters International に転送したようです。Hunters International は現時点で被害者の数は比較的少ないものの、ツールキットが成熟しており、その能力を示すことに熱意を持っているように見える脅威グループです。
「サービスとしてのランサムウェア モデルでは評判が重要な役割を果たしており、Hive ランサムウェア グループによる混乱と数か月にわたる法執行機関の違反の後、ハンターズ インターナショナルは、優秀な人材を引き付ける前に自社の能力を証明するという課題に直面しています。アフィリエイトです」とビットディフェンダーは語った。
Hunters International の背後にいる攻撃者は、Hive のブランド名を変更したバージョンではなく、Hive マルウェアとインフラストラクチャを使用する独立したグループであることを明らかにしました。 ビットディフェンダー氏は、証拠はそれが実際に事実であることを示していると述べた。
たとえば、このグループの主な焦点は、データの暗号化ではなく、データの引き出しによる恐喝にあるようですが、これは Hive の活動とは異なります。 ハンター・インターナショナルの被害者リストには、米国、英国、ドイツ、ナミビアの組織が含まれているが、これまでのところ同社の攻撃は標的を絞ったものではなく、日和見的であることが示唆されており、ランサムウェアの分野で未だに勢力を伸ばしているグループのもう一つの兆候である。
Bitdefender のマルウェア分析では、Hunter International がロギングを使用していることも示されており、このグループが他の誰かからコードを採用したことは明らかだと、Bitdefender のテクニカル ソリューション ディレクターである Martin Zugec 氏が Dark Reading へのコメントで述べています。
「ハンター グループなどの新しい開発者がコードを取得または継承する場合、ロギングとデバッグを有効にすることは、そのコードを理解して改善するための重要なステップです。 ログを記録すると、コードがどのように動作し、エラーを追跡するかについての洞察が得られ、マルウェアのデバッグと改善に役立ちます。」
マルウェアの販売: リスク低減のトレードオフ
ズジェック氏は、Hive が自社のマルウェアを販売するという決定は、犯罪グループが成功した削除から回復しようとする際にしばしば直面する課題を示していると述べています。
「バックアップから復旧する可能性のある正規の企業とは異なり、脅威アクターにとって、復旧はシステムだけの問題ではありません。 それは法的影響を回避し、違法な活動を再構築することなのです」と彼は言う。 「これは時間と労力がかかるプロセスです。 したがって、彼らのコードを販売するという決定は、法執行機関の再開と回避に必要な労力とリソースは価値がないかもしれないという信念から生じている可能性があります。」
Zugec 氏は、Hive の攻撃者がランサムウェア コードに対して望んでいた、またはハンターズ インターナショナルが支払った可能性のある代価を判断するのは難しいと述べています。 通常、Hunters のようなアフィリエイト運営会社は、迅速な回復、高いデータ取得率、および復号化ツールへの耐性で評判の高いランサムウェアに割増料金を支払うことをいとわないでしょう。
「コードの価値は、その技術的な能力を超えて広がります。 これには、サイバー犯罪コミュニティにおけるランサムウェアの信頼性と確立された評判が含まれます。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/attacks-breaches/hunters-international-cyberattackers-hive-ransomware
