Hunters International adlı yeni bir fidye yazılımı markası, Hive fidye yazılımı operasyonu tarafından kullanılan kodu kullanarak ortaya çıktı ve eski çetenin farklı bir bayrak altında etkinliğe devam ettiği varsayımına yol açtı.
Bu teori, iki fidye yazılımı çetesi arasındaki birden fazla kod örtüşmesini gösteren yeni şifrelemenin analizi ile desteklenmektedir.
Hunters Uluslararası Kötü Yazılım Örneğini analiz eden güvenlik araştırmacıları, Hive fidye yazılımı saldırılarında kullanılan koda çarpıcı bir benzerlik keşfetti.
Daha spesifik olarak, yeni şifremi ilk olarak gören kötü amaçlı yazılım analisti ve ters mühendis Rivitna, Hunters International kötü amaçlı yazılımın Hive fidye yazılımı sürüm 6 örneği olduğu sonucuna varmıştır.
Yukarıdaki tweet'e yanıtlarda, Güvenlik Araştırmacısı Thomas, Hunters Uluslararası Kodunda "bazı kovan fidye yazılımı dizelerini" bulduğunu paylaşıyor.
Hunters International örneğine daha yakından bakıldığında, araştırmacı, Koç fidye yazılımındaki kodun% 60'ından fazlasına uygun kod örtüştülerini ve benzerliklerini keşfetti.
Bununla birlikte, Hunters International Group, araştırmacıların “iddialarını” reddediyor ve fidye yazılımı sahnesinde Hive geliştiricilerinden şifreleme kaynak kodunu satın alan yeni bir hizmet olduklarını söylüyor.
Hunters International Gang, “Web sitesi ve eski Golang ve C versiyonları da dahil olmak üzere tüm kovan kaynak kodları satıldı ve biz onları satın alanlarız” diyor.
Hive International, Hive’in kodunun “bazı durumlarda şifre çözülmeyecekliğe neden olan birçok hata” içerdiğini iddia ediyor, ancak bunu düzelttiler.
Ayrıca, yeni çete, şifrelemenin operasyonlarının ana hedefi olmadığını, bunun yerine kurbanları fidye talebi ödemeye zorlarken kaldıraç olarak çalmaya odaklandığını söylüyor.
BleepingComputer'ın analizinden, Hunters International'ın şifrelemesi “.LOCTED” uzantısını işlenen dosyalara ekler.
Kötü amaçlı yazılım, her bir kurban için özel bir girişle korunan bir sohbet sayfası aracılığıyla kurbanın Tor üzerinden saldırganla iletişime geçmesi için "Uyan.txt" adlı düz metin dosyasını bırakır.
Şu anda, veri sızıntısı sitesi, saldırganların ağ ve web kimlik bilgileriyle birlikte öğrenciler ve öğretmenler hakkında verilerden oluşan yaklaşık 50.000 dosyayı çaldığını iddia ettikleri sadece bir kurban, İngiltere'de bir okul listeliyor.
MalwareHunterTeam tarafından tespit edildiği gibi, Hunters International'ın veri sızıntı sitesi, muhtemelen dünyayla ciddi iş ve kurbanlar için "avcılık" anlamına geldiklerini ve onları zorlamak için bir dizi mesaj göstermektedir.
Kaderin Hunters International'ın ne beklediğini görmeye devam ediyor, ancak veri sızıntısı sitesinde bir kurban yayınlandığında, grup çok aktif görünmüyor.
Hive fidye yazılımı kaynak kodunu diğer siber suçlulara satıyor olsun ya da olmasın, şu anda bilinmiyor, ancak çetenin operasyonları TOR ödemesi ve veri sızıntı sitesi Ocak ayında uluslararası bir operasyonda ele geçirildikten sonra aniden durdu.
250 bağlı kuruluşu olan fidye yazılımı operasyonunun bozulması, FBI çetenin altyapısına sızdıktan ve Temmuz 2022'den bu yana faaliyeti altı ay boyunca izledikten sonra mümkün oldu.
FBI'a göre, çete 1.300'den fazla şirketi ihlal etti ve yaklaşık 100 milyon dolarlık fidye ödemelerini aldı.
Ajansın faaliyeti, FBI'dan önce ve sonra şifrelenmiş fidye yazılımı kurbanları için 1.300'den fazla şifre çözme anahtarı sağlamasına izin verdi.
Kaynak: Bleeping Computer