Die neue Gruppe “Hunters International” bezeichnet sich selbst als Nachfolger der HIVE Ransomware-Gangster. Eine Analyse des Ransomware-Codes bestätigt das und zeigt, wie die Kriminellen ihre Malware-Attacken verbessert haben.
Hunters International steht am Anfang seiner Aktivitäten mit ersten Opfern in Deutschland, Großbritannien, den Vereinigten Staaten von Amerika und Namibia. Die Hive-Gruppe war im Januar 2023 als Ergebnis einer konzertierten Aktion des FBI, des BKA, des Polizeipräsidiums Reutlingen und niederländischer Behörden enttarnt worden. Zu den Opfern von Hive gehörten 1.500 Krankenhäuser, Schulbehörden, Finanzdienstleister und andere Organisationen, deren Informationen die Angreifer offenlegten.
Hive im Januar enttarnt
Als Folge der sieben Monate dauernden Ermittlungen wurde die Webseite von Hive abgeschaltet. 300 aktuelle Opfer erhielten einen Entschlüsselungs-Key, was diesen Lösegeldzahlungen in Höhe von 130 Millionen Dollar ersparte. Wie so häufig, kam es zu keinen Verhaftungen, aber die Ermittler legten die Infrastruktur der Gruppe offen. Zu häufig agieren die Hintermänner von Ländern aus, die mit anderen Ermittlungsbehörden nicht kooperieren.
Selbstdarstellung der Hunters International entspricht der Realität nach erfolgter Code-Analyse
Die Bitdefender Labs liefern nun in einer neuen Analyse zur neuen Ransomware-as-a-Service-Gruppe Hunter folgende Ergebnisse:
- Vorhandene, schon von Sicherheitsforschern wie @rivitna2 oder @BushidoToken gefundene Überlappungen im Code bestätigten Ähnlichkeiten im Code und damit die Selbstaussage der Hunter-International-Betreiber, dass sie eine Neuauflage von Hive sind.
- Dennoch ist Hunter International laut eigener Aussage eine unabhängige Gruppe, die Quellcode und Infrastruktur von Hive käuflich erworben hat. In ihrer Kommunikation positionieren sie sich als Weiterentwickler und Verbesserer des Codes. Ransomware-Akteure müssen sich nicht nur gegenüber Opfern, sondern auch gegenüber der Konkurrenz und den Kunden der Ransomware-as-a-Service-Schattenwirtschaft positionieren.
- Die Analysen bestätigen ebenso die Selbstaussage von Hunters International, dass ihr Hauptaugenmerk darauf liegt, Daten offenzulegen. Verschlüsselt wurden Daten bisher in keinem Fall.
- Die Code-Analyse zeigt, dass die Entwickler bei Hunters International den Code vereinfacht haben. Der Code besteht aus weniger Kommandozeilen, der Speicherprozess der Verschlüsselungs-Keys ist einfacher gestaltet. Nicht relevante Dateinamen, Dateierweiterungen oder Directories werden nicht verschlüsselt. Zudem greift die Ransomware gezielt Backup- und Wiederherstellungsfunktionalitäten an. Ziel ist das Deaktivieren von Backups und das Stoppen einer Recovery.
Offline-Backups spielen wichtige Rolle bei der Abwehr
Bitdefender empfiehlt Unternehmen dringend einen Schutz gegen Ransomware sowie einen Maßnahmenkatalog zur sicheren Abwehr und zur Wiederherstellung von Daten nach einem erfolgten Angriff. Ebenso wichtig ist es, Backups sicherzustellen – auch gegen Attacken bösartiger Angreifer mit erweiterten Privilegien. Ein Offline-Backup spielt weiterhin eine zentrale Rolle. Außerdem sollten die Verantwortlichen die Sicherheitskontrollen auf ihren praktischen Wert regelmäßig bewerten.
Direkt zum Report auf Bitdefender.com
Über Bitdefender Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de