Um novo grupo de ransomware, denominado “Hunters International”, surgiu no cenário de ameaças cibernéticas, adquirindo o código-fonte e a infraestrutura do grupo Hive. Martin Zugec, da Bitdefender, relata que a liderança da Hive decidiu encerrar suas operações e transferir seus ativos restantes para o Hunters International.

Hive, conhecido por suas operações de ransomware como serviço (RaaS), foi desativado em janeiro de 2023 por uma operação coordenada de aplicação da lei.

É comum que grupos de ransomware se reagrupem, ou encerrem suas atividades após tais intervenções. Surgiram relatos sobre o Hunters International ser um possível rebranding da Hive, após identificação de semelhanças no código entre os dois.

Até o momento, o Hunters International reivindicou cinco vítimas. Os atores por trás do Hunters International negam ser uma rebranding da Hive, afirmando ter comprado o código-fonte e o site da Hive de seus desenvolvedores. O grupo enfatiza mais a exfiltração de dados do que a criptografia, classificando-o mais como uma operação de extorsão de dados.

O novo grupo buscou simplificar o código do ransomware, reduzindo parâmetros de linha de comando, aprimorando o armazenamento de chaves de criptografia e tornando o malware menos verboso do que as versões anteriores.

Além de incorporar uma lista de exclusão de extensões de arquivos, nomes e diretórios a serem omitidos da criptografia, o ransomware executa comandos para impedir a recuperação de dados e terminar processos que possam interferir no processo.