Hunters International という新たな RaaS:Hive からソースコードを購入したと主張

New Hunters International ransomware possible rebrand of Hive

2023/10/29 BleepingComputer — Hive ランサムウェアが用いていたコードを再利用する、Hunters International という新たな RaaS (Ransomware-as-a-Service) ブランドが登場した。両者を関連性を示唆する仮説は、新しい暗号化プログラムの分析で明らかになった、この2つのランサムウェア・ギャングの間での、複数のコードの重複により裏付けられている。

否定する Hunters

Hunters International マルウェアのサンプルを分析したセキュリティ研究者が、Hive ランサムウェアで使用されていたコードとの酷似性を発見している。

具体的に言うと、この新しい暗号化ツールを発見したマルウェア・アナリスト兼リバース・エンジニアである rivitna が、Hunters International マルウェアは Hive ランサムウェア・バージョン6のサンプルであるという結論に達したという。

上記のツイートへの返信の中で、セキュリティ研究者である Will Thomas は、Hunters International のコードの中に維持されている、Hive ランサムウェアの文字列を見つけたと伝えている。

Hunters International のサンプルを詳しく分析した研究者たちは、Hive ランサムウェアのコードの 60% 以上と一致する、コードの重複や類似点を発見した。

Researcher finds strong link between Hunters Internation and Hive ransomware malware
source: Bushido Token

しかし、Hunters International グループは、研究者たちの “主張” を否定し、Hive の開発者から暗号化ソフトのソースコードを購入した、ランサムウェア・シーンにおける新しいサービスであると述べている。

Hunters International グループは、「Hive のソースコードは、Web サイトや昔の Golang/C バージョンなどの全てが販売されており、私たちも、それらを購入した。Hiveのコードには、多数のバグが含まれており、場合によっては復号化できない原因となっていたが、それを修正した。また、暗号化は主目的ではなく、身代金要求を支払うよう被害者を恐喝するために、データ窃取に重点を置いている」と主張している。

Hunters International の暗号化ツール

BleepingComputer の分析によると、Hunters International の暗号化装置は、処理されたファイルに “.LOCKED” という拡張子を付加する。

Hunters International adds the LOCKED extension to encrypted files
Files encrypted by Hunters International ransomware
source: BleepingComputer

このマルウェアは、各ディレクトリに “Contact Us.txt” という名前の平文ファイルを残し、各被害者専用のログインで保護されたチャット・ページを通じて、Tor 経由で被害者に連絡するよう指示する。

Hunters International ransomware note
Hunters International ransom note
source: BleepingComputer

現時点において、Hunters のデータ流出サイトには、英国の学校のみがリストアップされており、ネットワークと Web の認証情報および、生徒と教師に関するデータで構成される、約 50,000 のファイルを盗んだと記されている。

Hunters International ransomware leaks data of one victim
source: BleepingComputer

MalwareHunterTeam により発見されたように、Hunters International のデータ流出サイトには一連のメッセージが表示されている。おそらく、この脅威アクターは本気でビジネスに取り組み、被害者を侵害して恐喝しようとしているのだろう。

Hunters International ransomware gang messages
Hunters International ransomware gang messages
source: MalwareHunterTeam

Hunters International に、どのような運命が待ち受けているのかは、現時点では分からない。しかし、彼らのデータ流出サイトで公開された被害者は1件であり、このグループが活性化しているとは思えない。

Hive ランサムウェアの終焉

Hive ランサムウェアによる、ソースコードの売却については、いまのところ不明である。2023年1月の国際的な捜査により、Tor による支払/データ漏洩サイトが押収された後に、このギャングの活動は突然に停止している。

250 のアフィリエイトを抱えていた、このランサムウェアの活動を停止できたのは、2022年7月〜2023年1月の6ヶ月間にわたる、 FBI によるインフラ侵入/監視があったからだ。FBI によると、Hive は 1,300社以上に侵入し、約 $100 million の身代金を稼いでいたという。なお、FBI が Hive 環境にアクセスしたことで、このランサムウェアの被害者に対して、1,300以上の復号鍵を提供することができたという。

Hive というと、荒稼ぎをして、さっと散ってしまったランサムウェアという感じがしますが、そのソースコードが他の脅威アクターに継承されているようです。そのあたりに関しては、2022/11/18  の「FBI/CISA/HHS 共同警告:ランサムウェア Hive の被害額が約 $100M に到達」を、ご参照ください。また、RaaS で検索も、ご利用ください。