На киберпреступной арене появился новый персонаж — хакерская группировка Hunters International, предлагающая свое вымогательское ПО как услугу. Отличительная черта этих «охотников» — использование исходного кода, который когда-то был частью арсенала известной группы Hive.
Первым на сходства шифровальщиков обратил внимание специалист, известный под псевдонимом rivitna . Тогда он предположил, что имеет дело с обновлённой версией Hive, а не отдельной угрозой.
Его коллега, Уилл Томас , также выявил в коде Hunters International фрагменты, характерные для Hive. Анализ показал, что сходство с устаревшей программой достигает 60%.
Сами хакеры опровергли эту информацию, заявив, что приобрели код у разработчиков Hive: «Мы приобрели весь исходный код, а также их веб-сайт и оригинальные версии на Golang и C».
Первоначальный код содержал множество недочётов, мешавших дешифрованию. Как утверждает группа, все недостатки уже устранены. Однако основная цель Hunters International — не шифрование данных, а их кража. Как и большинство вымогателей, они используют скомпрометированные файлы для давления на жертву и требований о выкупе.
Шифровальщик маркирует закодированные файлы расширением «.LOCKED». Каждая пораженная папка включает текстовый документ «Contact Us.txt» с инструкциями о том, как связаться со злоумышленниками через секретный чат в сети Tor.
Сейчас сайт утечек, принадлежащий Hunters International, указывает лишь на одну жертву — британскую школу, у которой злоумышленники украли более 50 тысяч файлов. Пока что хакеры демонстрируют ограниченную активность, поэтому их будущее в мире киберпреступности остаётся под вопросом.
За все время жертвами изощренных атак Hive стали более 1300 организаций по всему миру. «Доход» от вымогательских кампаний составил около 100 миллионов долларов. ПО Hive зарекомендовало себя как одну из наиболее активных угроз.
Однако успешное вмешательство ФБР положило конец их преступной деятельности. Агентам удалось внедриться в группу (скорее всего, завербовав одного из участников), завоевать доверие хакеров и выведать самые важные секреты. После шести месяцев наблюдения, в январе этого года, преступников арестовали, также ликвидировав их IT-инфраструктуру.
Жертвам предоставили ключи для дешифровки утерянных данных. Компенсацию получили как те, кто стал жертвой до начала операции, так и те, кто был атакован во время мониторинга.
Неизвестно, действительно ли представители Hive продали исходный код своего ПО или же Hunters International самостоятельно создали аналогичный инструмент, опираясь на известные методики и стратегии Hive. Доказательств тому, что Hunters International – не продукт «ребрендинга», пока что тоже нет.
Источник: SecurityLab