469/66 (IT) ประจำวันอังคารที่ 31 ตุลาคม 2566
แบรนด์ ransomware-as-a-service ใหม่ที่ชื่อ Hunters International ได้เกิดขึ้นโดยใช้โค้ดที่เหมือนกับ แรนซัมแวร์ Hive ซึ่งนำไปสู่การสันนิษฐานว่ากลุ่มแรนซัมแวร์ Hive ได้กลับมาดำเนินกิจกรรมต่อภายใต้ชื่อแบรนด์ใหม่ ทฤษฎีนี้ได้รับการสนับสนุนจากการวิเคราะห์ตัวเข้ารหัสใหม่ ซึ่งเผยให้เห็นโค้ดหลายอันที่ทับซ้อนกันระหว่างกลุ่มแรนซัมแวร์ทั้งสองกลุ่มนี้ โดยนักวิจัยด้านความปลอดภัยวิเคราะห์ตัวอย่างมัลแวร์ Hunters International พบว่ามีความคล้ายคลึงอย่างมากกับโค้ดที่ใช้ในการโจมตีของแรนซัมแวร์ Hive ในเวอร์ชัน 6 เมื่อพิจารณาตัวอย่าง Hunters International ให้ละเอียดมากขึ้น นักวิจัยค้นพบโค้ดที่ทับซ้อนกันและความคล้ายคลึงที่ตรงกับโค้ดมากกว่า 60% ในแรนซัมแวร์ Hive
แต่อย่างไรก็ตาม กลุ่ม Hunters International ปฏิเสธว่า ransomware-as-a-service นี้ เป็นแรนซัมแวร์ตัวใหม่ที่ซื้อซอร์สโค้ดตัวเข้ารหัสจากนักพัฒนาแรนซัมแวร์ Hive และอ้างว่าโค้ดของ Hive มีข้อผิดพลาดมากมายที่ทำให้ไม่สามารถถอดรหัสได้ในบางกรณี แต่พวกเขาได้แก้ไขแล้ว นอกจากนี้ ยังกล่าวว่าการเข้ารหัสไม่ใช่เป้าหมายหลักของการดำเนินงานของพวกเขา แต่มุ่งเน้นไปที่การขโมยข้อมูลเพื่อใช้ประโยชน์ในการขู่กรรโชกเหยื่อให้จ่ายค่าไถ่เท่านั้น และจากการวิเคราะห์ตัวเข้ารหัสของ Hunters International จะเพิ่มนามสกุล “.LOCKED” ต่อท้ายไฟล์ที่ประมวลผล มัลแวร์จะทิ้งไฟล์ข้อความธรรมดาชื่อ “Contact Us.txt” ไว้ในแต่ละไดเร็กทอรี พร้อมคำแนะนำสำหรับเหยื่อในการติดต่อผู้โจมตีผ่าน Tor ผ่านหน้าแชทที่ต้องเข้าสู่ระบบเฉพาะสำหรับเหยื่อแต่ละราย ในขณะนี้ เว็บไซต์สำหรับเผยแพร่ข้อมูล มีรายชื่อเหยื่อเพียงรายเดียวเท่านั้น นั่นคือโรงเรียนแห่งหนึ่งในสหราชอาณาจักร โดยผู้โจมตีอ้างว่าได้ขโมยไฟล์เกือบ 50,000 ไฟล์ ซึ่งประกอบด้วยข้อมูลเกี่ยวกับนักเรียนและครู พร้อมด้วยข้อมูลรับรองเครือข่ายและเว็บไซต์ของโรงเรียน