Mối Liên Hệ Hunters International và Ransomware Hive

04/04/2025
2 mins read


Bài viết thảo luận về mối liên hệ giữa Hunters International và phần mềm ransomware Hive trong các cuộc tấn công. Dưới đây là những điểm chính:

  1. Kết nối giữa Hunters International và Ransomware Hive:
    • Hunters International, một tổ chức ransomware tinh vi, xuất hiện vào tháng 10 năm 2023 với những kết nối mạnh mẽ tới nhóm ransomware Hive.
    • Các nhà nghiên cứu bảo mật đã xác định được sự tương đồng giữa cấu trúc mã của Hunters International và Hive, cho thấy rằng các nhà vận hành trước đây của Hive có thể đã đổi tên sau khi bị lực lượng thực thi pháp luật can thiệp vào năm đó.
  2. Quá trình kỹ thuật:
    • Hoạt động này cho thấy khả năng hoạt động trên nhiều nền tảng khác nhau, nhắm vào các hệ thống Windows, Linux, FreeBSD, SunOS và ESXi trên kiến trúc x64, x86 và ARM.
    • Các nhà nghiên cứu của Group-IB phát hiện ra rằng nhóm này cung cấp cho các đối tác công cụ tinh vi, bao gồm cả phần mềm mã độc và tiện ích “Storage Software” được thiết kế để tổ chức dữ liệu đã bị đánh cắp. Những điểm tương đồng kỹ thuật với ransomware của Hive được ghi nhận trong các phương pháp mã hóa và chức năng dòng lệnh.
  3. Kỹ thuật né tránh:
    • Hunters International sử dụng nhiều chiến thuật né tránh để vẫn giữ được sự ẩn danh trong quá trình thực hiện. Đối với các hệ thống Windows, ransomware được phân phối ở cả định dạng tệp thực thi và DLL, cho phép thực thi thông qua các quy trình Windows hợp pháp.
    • Ransomware giữ lại 0x41 byte đầu tiên của mỗi tệp, kiểm tra byte từ 0x45 đến 0x58 so với một giá trị được mã hóa cứng để xác định xem các tệp đã được mã hóa hay chưa. Cách tiếp cận mã hóa chọn lọc này giúp bảo tồn chữ ký tệp, làm phức tạp hóa nỗ lực phát hiện.
  4. Chuyển đổi sang các cuộc tấn công chỉ trích xuất dữ liệu:
    • Hunters International đang tái thương hiệu và chuyển đổi trọng tâm từ ransomware sang các cuộc tấn công đánh cắp dữ liệu và cưỡng bức chỉ. Nhóm này đã khởi động một chiến dịch mới có tên “World Leaks,” sử dụng một công cụ trích xuất tùy chỉnh để tự động hóa việc đánh cắp dữ liệu.
    • Thay đổi này có thể là do lợi nhuận giảm dần và rủi ro gia tăng của các cuộc tấn công ransomware, cũng như tiềm năng thu hồi cao hơn từ các mục tiêu cơ sở hạ tầng quan trọng.
  5. Thông tin hoạt động:
    • Nhóm này đã liệt kê khoảng 300 tổ chức nạn nhân trên trang web rò rỉ dựa trên Tor của họ, với gần một nửa trong số đó ở Bắc Mỹ. Các lĩnh vực bất động sản, chăm sóc sức khỏe, dịch vụ chuyên nghiệp, dịch vụ tài chính, chính phủ và năng lượng là những mục tiêu chính.
    • Các đối tác có thể đăng ký nạn nhân, tùy chỉnh phần mềm độc hại và trò chuyện với các nạn nhân thông qua bảng điều khiển đối tác. Công cụ Storage Software thu thập siêu dữ liệu về các tệp bị đánh cắp và gửi đến máy chủ của Hunters.

Tóm lại, Hunters International được liên kết với ransomware Hive do những tương đồng kỹ thuật và sự chồng chéo trong hoạt động. Nhóm này đã tiến hóa để tập trung vào việc đánh cắp dữ liệu và chỉ tống tiền, tận dụng các công cụ tinh vi và kỹ thuật né tránh để tiếp tục không bị phát hiện.


Tags