New Ransomware Group Emerges with Hive’s Source Code and Infrastructure
2023/11/13 TheHackerNews — Hunters International という新たなランサムウェアを操る脅威アクターが、すでに解体された Hive オペレーションからソースコードとインフラを入手して、独自の脅威活動を開始した。Bitdefender の Technical Solutions Director である Martin Zugec は、先週に発表したレポートの中で、「Hive の活動が停止した後に、そのリーダーは、残された資産を別のグループ Hunters International に譲渡するという、戦略的決定を下したようだ」と述べている。
かつて RaaS (Ransomware-as-a-Service) を多用していた Hive は、2023年1月に法執行機関の共同オペレーションの一環としてダウンさせられた。
このような摘発を受けたランサムウェア・アクターが、活動を解散停止し後に再編成/リブランドすることは珍しいことではない。加えて、中核となる開発者が所有しているソースコードやインフラが、別の脅威アクターに譲渡されることも起こり得る。
Hunters International と Hive には、いくつかのコードの類似性が確認されており、先月には、Hunters International が Hive のリブランドの可能性があると報じられた。そして、この報道から現在に至るまでの間に、5社が犠牲となっている。
そして、Hunters International の背後にいる脅威アクターは、Hive のソースコードと Web サイトを、その開発者から購入したと主張している。
Martin Zugec は、「同グループは、データ流出を重視しているようだ。特筆すべきは、報告された被害者の全てにおいてデータは流出したが、全員がデータを暗号化されたわけではなかった点だ。Hunters International は、Hive よりもデータ強奪グループとしての側面が強い」と述べている。
Bitdefender がランサムウェアのサンプルを分析したところ、Rust ベースの基盤をもっていることが判明した。Hive も 2022年7月に、リバース・エンジニアリングへの耐性を高めるために、Rust 言語に移行している。
さらに Martin Zugec は、「Hunters International が Hive のコードを採用する際に、単純化を目指したてように見える。以前のバージョンと比較して、コマンドライン・パラメータの数を減らし、暗号化キーの保存プロセスを合理化することで、非冗長化を実施している」と述べている。
このランサムウェアは、暗号化を省略するファイル拡張子/ファイル名/ディレクトリのたえの、除外リストを組み込んでいる。その他に、データ回復を防ぐコマンドを実行し、そのプロセスを妨害する可能性のある他プロセスを終了させる。
Martin Zugec は、「Hive は最も危険なランサムウェア・グループの1つだが、それ以上に Hunters International が手強い存在であるかどうかは分からない。この新たなグループは、成熟したツールキットからスタートする脅威アクターとして登場し、その能力を誇示しようと躍起になっているように見える。しかし彼らは、優秀なアフィリエイトたちを集める前に、その実力を示すという課題に直面している」と指摘している。
Hunters International と Hive の関連性については、すでに 2023/10/29 の「Hunters International という新たな RaaS:Hive からソースコードを購入したと主張」でお伝えしていますが、さらに解析が進んでいるようです。ただし、最近のランサムウェア攻撃では、文中にでも指摘されているように、アフィリエイトの力量が大きな要因になっているようです。Hive のコード/インフラを再利用するからといっても、成功が保証されているわけではなさそうです。
IoT OT Security News 
You must be logged in to post a comment.