La banda de ransomware Hive se reconvierte en Hunters International

Los investigadores de seguridad han encontrado enormes similitudes entre el código usado por ambos grupos de ciberdelincuentes para sus ataques.

Alberto Payo

Periodista

Guardar

La infraestructura del ransomware Hive fue desmantelada
La infraestructura del ransomware Hive fue desmantelada

Entre los actores de amenazas dedicados a extorsionar a empresas e instituciones sirviéndose de ataques de ransomware comienza a ser frecuente que nazcan nuevos grupos con componentes de otras formaciones anteriores o que se produzcan spin-offs.

Esto es lo que habría ocurrido con la pandilla Hunters International, una nueva marca de ransomware como servicio, que los investigadores de seguridad sospechan que es heredera de la conocida pandilla Hive. Se cree que esta habría retomado su actividad, pero con una nueva 'marca'.

Esta hipótesis vendría respaldada por el análisis de un nuevo cifrador que revela múltiples superposiciones de códigos entre ambas bandas, según se hace eco Bleeping Computer

Los analistas que tuvieron en sus manos una muestra del malware que Hunters International utiliza como arma hallaron un gran parecido con la infame formación. 

De hecho, uno de ellos, el ingeniero inverso Rivitna, ha llegado a la conclusión de que Hunters es una muestra de la versión 6 del ransomware Hive. Will Thomas, otro investigador de seguridad, va más allá y destaca que hay similitudes y coincidencias en hasta un 60%

Por ahora, Hunters International, ha negado estas teorías y se venden como un nuevo servicio en la escena del ransomware. Explican los 'parecidos razonables' justificando que le compraron el código fuente del cifrado a los desarrolladores de Hive. 

La nueva pandilla también aclara que el cifrado no es el objetivo principal de sus operaciones, sino que se centran en robar datos como palanca para extorsionar a las víctimas para que paguen una demanda de rescate.

Por ahora Hunters no ha tenido una actividad demasiado incesante. Su sitio de filtraciones lista una sola víctima, una escuela de Reino Unido, a la que supuestamente habrían robado casi 50.000 archivos con datos sobre estudiantes y profesores y credenciales de red y web. 

El fin de Hive

Hive ransomware recibió un duro golpe cuando el FBI se infiltró en la infraestructura de la pandilla y estuvo monitorizando su actividad durante seis meses, a partir de julio del año pasado. 

La operación, que contó con colaboración internacional. culminó en enero y fue la estocada final para la banda,  ya que las autoridades confiscaron su sitio de pagos en Tor y otros activos.

El ransomware de Hive contaba con 250 afiliados y la pandilla había tenido como víctimas a 1.300 organizaciones, recibiendo pagos de rescates por un total de 100  millones de dólares, según los datos revelados por el FBI.