Les hackers Hunters International relancent le dark web avec le code source de Hive

« Il semble que les dirigeants du groupe Hive aient pris la décision stratégique de cesser leurs activités et de transférer leurs actifs restants à un autre groupe, Hunters International », a déclaré Martin Zugec, directeur des solutions techniques chez Bitdefender, dans un rapport publié la semaine dernière.

Hive, qui était autrefois un ransomware-as-a-service (RaaS) prolifique, a été démantelé dans le cadre d’une opération coordonnée des forces de l’ordre en janvier 2023. S’il est courant que les acteurs du secteur des ransomwares se regroupent, changent de nom ou mettent fin à leurs activités à la suite de telles saisies, il arrive aussi que les principaux développeurs transmettent le code source et d’autres infrastructures en leur possession à un autre acteur de la menace. Des rapports sur Hunters International en tant que possible rebrand de Hive ont fait surface le mois dernier après que plusieurs similitudes de code aient été identifiées entre les deux souches. Elle a fait cinq victimes à ce jour.

Les acteurs de la menace qui en sont à l’origine ont toutefois cherché à dissiper ces spéculations, déclarant qu’ils avaient acheté le code source et le site web de Hive à ses développeurs. « Le groupe semble mettre davantage l’accent sur l’exfiltration de données », a déclaré M. Zugec. « Notamment, toutes les victimes signalées ont vu leurs données exfiltrées, mais pas toutes cryptées, ce qui fait de Hunters International un groupe d’extorsion de données.

L’analyse de l’échantillon de ransomware par Bitdefender révèle ses fondations basées sur Rust, un fait confirmé par la transition de Hive vers le langage de programmation en juillet 2022 pour sa résistance accrue à la rétro-ingénierie. « En général, lorsque le nouveau groupe adopte le code de ce ransomware, il semble qu’il ait cherché à le simplifier », a déclaré M. Zugec. « Ils ont réduit le nombre de paramètres de la ligne de commande, rationalisé le processus de stockage de la clé de chiffrement et rendu le logiciel malveillant moins verbeux par rapport aux versions précédentes. Le ransomware exécute des commandes en plus d’incorporer une liste d’exclusion d’extensions de fichiers, de noms de fichiers et de répertoires qui sont exclus du chiffrement – des commandes qui empêchent la récupération des données et mettent fin aux processus qui pourraient potentiellement interférer avec le processus de chiffrement.
« Si Hive a été l’un des groupes de ransomware les plus dangereux, il reste à voir si Hunters International s’avérera tout aussi redoutable, voire plus », note M. Zugec. « Ce groupe apparaît comme un nouvel acteur de la menace qui commence avec une boîte à outils mature et semble désireux de montrer ses capacités [mais] il doit démontrer sa compétence avant d’attirer des affiliés de haut niveau.