Hive, gruppo ransomware noto per aver colpito più di 1.300 aziende e aver raccolto più di 100 milioni di dollari in riscatti è tornato attivo dopo quasi un anno di pausa.
L’infrastruttura dei cybercriminali, infatti, è stata smantellata nel corso di gennaio 2023, attraverso una complessa operazione che ha coinvolto FBI e forze dell’ordine di alcuni paesi europei come Germania e Olanda.
Nonostante ciò, i ricercatori di Bitdefender hanno individuato un nuovo gruppo che risulterebbe strettamente collegato con Hive. Noto come Hunters International, questo dimostra alcune connessioni con il precedente collettivo di cybercriminali.
I ricercatori, infatti, hanno notato come dopo lo smantellamento da parte delle forze dell’ordine, le risorse di Hive sarebbero state trasferite a un altro gruppo, che risponderebbe proprio al nome di Hunters International. Le connessioni tra i due gruppi ransomware, però, non terminano qui.
Sovrapponendo i codici utilizzati durante gli attacchi, il ricercatore di sicurezza Will Thomas, ha individuato una potenziale sovrapposizione del 60% tra i gruppi. Un altro indizio abbastanza chiaro in tal senso.
Hunters International è parente molto stretto del ransomware Hive
A tal proposito, però, gli stessi cybercriminali hanno voluto dire la loro, affermando come Hunters International non sia un’operazione di “rebranding” del precedente gruppo. Gli stessi, infatti, si definiscono come un’entità indipendente, seppur ammettono di aver acquisito parte della sua infrastruttura.
D’altro canto, guardando al presente e al futuro, il collettivo emergente non è di certo meno temibile rispetto ad Hive. Il gruppo non sembra volersi concentrare su un territorio particolare, avendo già mostrato attività in territori come Stati Uniti, Germania e Gran Bretagna, talvolta prendendo di mira anche istituti ospedalieri, un modus operandi spiacevole e tristemente sempre più comune anche nel nostro paese.
Hunters International offre servizi Ransomware-as-a-Service (RaaS) con strumenti appositi realizzati in Rust. Altro segno distintivo del gruppo è il modo in cui gli stessi chiedono i riscatti. Per il pagamento, infatti, alle vittime viene chiesto di accedere a un portale apposito attraverso chiavi fornite nel messaggio rilasciato per il riscatto.