En el mundo del ciberdelito, los grupos de hackers evolucionan constantemente, buscando formas de evadir la detección y mejorar sus ataques maliciosos. Recientemente, se ha detectado una nueva amenaza en el horizonte digital: el ransomware "Hunters International". Este programa malintencionado ha llamado la atención de los expertos en seguridad, que sospechan que podría ser una reencarnación del infame ransomware Hive, conocido por su habilidad para infiltrarse y paralizar sistemas en todo el mundo.
Una nueva forma de ransomware conocida como Hunters International ha emergido, utilizando el mismo código que el conocido grupo de ransomware Hive. Esto ha llevado a expertos a creer que la antigua banda de ciberdelincuentes podría estar operando de nuevo, solo que con un nuevo nombre.
La evidencia de que Hunters International es un renacimiento de Hive viene de un análisis detallado del nuevo software de cifrado. Este estudio muestra notables similitudes en el código entre las dos versiones del ransomware.
Expertos en seguridad han examinado muestras del malware Hunters International y han encontrado una semejanza impresionante con el utilizado por Hive en sus ataques. En particular, un destacado analista de malware y experto en ingeniería inversa, conocido en la comunidad como rivitna, fue quien identificó primero el nuevo software de cifrado. Rivitna concluyó que Hunters International podría ser de hecho la sexta versión del ransomware Hive.
El experto en seguridad Will Thomas respondió a un tweet destacando que dentro del código de Hunters International se conservaron "ciertas secuencias del ransomware Hive." Al examinar más detalladamente la muestra de Hunters International, Thomas notó que había una considerable cantidad de código que compartía similitudes con Hive, coincidiendo en más del 60%.
A pesar de esto, la agrupación Hunters International rechaza las "suposiciones" de los investigadores, sosteniendo que son un recién llegado en el ámbito del ransomware y que adquirieron el código de cifrado de los creadores de Hive. La banda Hunters International declaró: "Nosotros compramos todos los códigos fuente de Hive, incluyendo su página web y las antiguas versiones en Golang y C."
Según Hunters International, el código de Hive tenía "numerosos fallos que a veces impedían el descifrado", fallos que ellos afirman haber corregido. Por otro lado, la organización aclara que su operación no se enfoca exclusivamente en el cifrado. Su principal estrategia es el robo de datos, utilizándolos como herramienta de presión para extorsionar a las víctimas y forzarlas a satisfacer sus demandas de rescate.
Te podría interesar leer: Ransomware as a Service: Una Amenaza Alarmante
De acuerdo con un análisis reciente, el software de cifrado usado por Hunters International añade la extensión ".LOCKED" a los archivos que ha comprometido.
Este programa malicioso también coloca en cada carpeta afectada un archivo de texto simple denominado "Contact Us.txt". Este archivo contiene instrucciones para que las víctimas se pongan en contacto con los ciberatacantes mediante un chat accesible a través de Tor, el cual requiere credenciales únicas para cada afectado.
Hasta la fecha, su plataforma de exposición de datos ha listado una sola víctima, una institución educativa en el Reino Unido. Los atacantes aseguran haber sustraído aproximadamente 50,000 documentos que incluyen información de estudiantes y docentes, así como credenciales de acceso a la red y a sistemas en línea.
Según revelaciones de MalwareHunterTeam, la página de divulgación de datos de Hunters International exhibe una serie de declaraciones que parecen confirmar su determinación para demostrar la seriedad de sus intenciones de "cazar" víctimas y extorsionarlas. Aún está por determinarse cuál será el futuro de Hunters International, pero con tan solo una víctima expuesta en su plataforma hasta el momento, el colectivo no parece mostrar una actividad excesivamente alta.
Podría interesarte leer: Detección de Ataques de Ransomware con Wazuh
Actualmente es un enigma si Hive Ransomware ha traspasado su código a otros actores del cibercrimen o no. Lo cierto es que sus operaciones se vieron abruptamente interrumpidas tras la incautación de su plataforma de pago y su sitio de divulgación de datos en Tor, como resultado de una operación policial internacional en enero.
La disrupción de esta red de ransomware, que albergaba a 250 colaboradores, se logró gracias a la infiltración del FBI en su infraestructura. La agencia federal vigiló sus movimientos durante seis meses, a partir de julio de 2022. El FBI ha revelado que el grupo comprometió a más de 1.300 empresas y consiguió cobrar rescates que ascienden a aproximadamente 100 millones de dólares.
La intervención del FBI fue clave, ya que permitió la recuperación y el suministro de más de 1.300 llaves de descifrado a entidades afectadas por el ransomware Hive, tanto a aquellas comprometidas previamente como a las infectadas después de que el FBI accediera a los sistemas controlados por los ciberdelincuentes.
En conclusión, Hunters International es un recordatorio de que el paisaje de la ciberseguridad está en constante evolución. A medida que un grupo de ransomware desaparece, otro surge para tomar su lugar. La vigilancia y la cooperación continúan siendo las mejores defensas contra estos actores maliciosos. La guerra contra el ransomware no es solo una batalla técnica, sino también una prueba de nuestra capacidad para adaptarnos y unirnos frente a adversidades digitales.
Mantenerse informado y preparado es crucial. Tanto si eres un usuario individual como el responsable de TI de una gran corporación, la amenaza del ransomware, ya sea bajo la marca de Hive o del International Hunters, es un peligro presente. Implementando estrategias de defensa proactivas y siguiendo las recomendaciones de los expertos en seguridad, podemos esperar mantener a raya a estos cazadores digitales.