Hunters International Ransomware

Hunters International és un programa nefast associat a una organització de ransomware identificada recentment que opera sota la "Hunters International". Tradicionalment, el ransomware està dissenyat per xifrar les dades d'una víctima, exigint un rescat a canvi de desxifrar-lo. Tanmateix, l'aspecte distintiu de Hunters International rau en el seu enfocament declarat en l'exfiltració de dades de grans entitats en lloc de només xifrar fitxers. Aquesta afirmació està recolzada per atacs documentats atribuïts a aquest equip de ransomware.

Després d'un examen més atent de l'amenaça de Hunters International, s'ha observat que el ransomware afegeix fitxers xifrats amb una extensió ".locked". Per exemple, un fitxer anomenat originalment "1.jpg" es transformaria en "1.jpg.locked", i "2.png" en "2.png.locked", i així successivament. Cal destacar que aquest ransomware en particular té la capacitat d'evitar l'alteració dels noms de fitxers. Un cop finalitzat el procés de xifratge, el ransomware diposita una nota de rescat titulada "Contacte'ns.txt".

Es pensava que Hunters International era un canvi de marca del grup de ransomware anterior

Inicialment, es va especular que Hunters International podria haver sorgit com a resultat dels esforços de rebranding del grup de ransomware Hive. Aquesta hipòtesi es basava en una coincidència significativa del 60% en els codis d'ambdós programes. En particular, l'FBI i l'Europol havien frustrat amb èxit les operacions de Hive el gener de 2023.

Contràriament a la hipòtesi del canvi de marca, una declaració publicada pel grup associat amb Hunters International Ransomware va refutar aquestes afirmacions. Segons l'actor de l'amenaça, van adquirir el codi font i la infraestructura de Hive del grup Hive, ara desaparegut, una afirmació que també ha estat recolzada per proves addicionals.

L'enfocament operatiu de Hunters International el distingeix del ransomware convencional, com ho demostren tant les declaracions del grup com els atacs documentats. En lloc de posar èmfasi en el xifratge de fitxers, aquests cibercriminals semblen inclinar-se molt cap a l'exfiltració de dades. Curiosament, s'han informat casos en què les infeccions de Hunters International no van implicar cap forma de xifratge.

L'adopció de tàctiques de doble extorsió és una tendència notable, especialment entre grups com Hunters International que es dirigeixen a grans entitats com ara empreses i organitzacions, en oposició als usuaris individuals. A diferència d'alguns actors d'amenaça que mostren selectivitat en els seus objectius, Hunters International sembla adoptar un enfocament més oportunista en les seves infeccions.

L'abast geogràfic de les activitats de Hunters International és ampli, amb atacs documentats observats a Amèrica del Nord i Amèrica Central, Europa, Àsia i Àfrica. Aquesta distribució generalitzada suggereix una manca d'estricta selectivitat a l'hora d'orientar regions específiques, emfatitzant encara més el caràcter oportunista dels atacs realitzats per aquest actor d'amenaça.

El ransomware Hunters International es basa en l'amenaça Hive

Hunters International està codificat en el llenguatge de programació Rust, alineant-se amb les tendències recents de codificació de programari maliciós. En particular, el Hive Ransomware original va utilitzar el llenguatge de programació C i Golang per a les seves operacions.

Comparant el codi de la variant coneguda de Hunters International amb iteracions anteriors de Hive, es fa evident que el codi s'ha simplificat notablement. El grup responsable del ransomware va reconèixer aquesta modificació, expressant la seva insatisfacció amb els errors presents en el codi original. Alguns d'aquests errors eren prou greus com per impedir un desxifrat reeixit, fet que va provocar la necessitat de perfeccionament.

Tot i que s'han publicat declaracions que afirmen la rectificació d'errors i l'eliminació d'obstacles per a la recuperació de fitxers, els analistes de programari maliciós han identificat defectes persistents a Hunters International. Això ha portat a la creença predominant que el ransomware encara està en desenvolupament i perfeccionament.

Una característica notable de Hunters International és la seva adaptabilitat, que permet la personalització en diversos aspectes. Els usuaris poden incloure extensions específiques per afegir als fitxers bloquejats, suprimir les còpies de volum instantània i eliminar altres vies de recuperació de dades. A més, el ransomware permet als usuaris especificar una mida mínima de fitxer necessària per al xifratge. És crucial destacar que Hunters International està dissenyat per modificar tots els fitxers, excloent només els formats i directoris de fitxers predeterminats. Aquest nivell de personalització suggereix un grau de sofisticació en el disseny i la funcionalitat del ransomware.