Hunters International Ransomware

A Hunters International egy aljas program, amely egy nemrég azonosított ransomware szervezethez kapcsolódik, amely a "Hunters International" alatt működik. A ransomware-t hagyományosan az áldozat adatainak titkosítására tervezték, és váltságdíjat követelnek a visszafejtésért cserébe. A Hunters International megkülönböztető jellemzője azonban abban rejlik, hogy deklaráltan a fájlok titkosítása helyett a nagy entitásokból származó adatok kiszűrésére összpontosít. Ezt az állítást támasztják alá a ransomware-nek tulajdonított, dokumentált támadások.

A Hunters International fenyegetés közelebbi vizsgálatakor azt észlelték, hogy a ransomware titkosított fájlokat fűz hozzá „.locked” kiterjesztéssel. Például egy eredetileg „1.jpg” nevű fájl „1.jpg.locked”-re, a „2.png” pedig „2.png.locked”-re és így tovább. Figyelemre méltó, hogy ez a bizonyos ransomware képes megkerülni a fájlnevek megváltoztatását. A titkosítási folyamat befejezése után a zsarolóprogram „Kapcsolatfelvétel.txt” címmel váltságdíj-levelet helyez el.

A Hunters Internationalről azt gondolták, hogy a korábbi Ransomware csoport újramárkája

Kezdetben az volt a feltételezés, hogy a Hunters International a Hive ransomware csoport márkaváltási erőfeszítéseinek eredményeként alakulhatott ki. Ez a feltételezés a két program kódjainak jelentős, 60%-os egyezésén alapult. Nevezetesen, az FBI és az Europol 2023 januárjában sikeresen meghiúsította a Hive működését.

A márkaváltási hipotézissel ellentétben a Hunters International Ransomware-hez kapcsolódó csoport közleménye cáfolta ezeket az állításokat. A fenyegetés szereplője szerint a Hive forráskódját és infrastruktúráját a mára megszűnt Hive csoporttól szerezték be, amit további bizonyítékok is alátámasztanak.

A Hunters International működési fókusza megkülönbözteti a hagyományos zsarolóvírusoktól, amint azt a csoport nyilatkozatai és a dokumentált támadások is bizonyítják. Ahelyett, hogy a fájlok titkosítását hangsúlyoznák, úgy tűnik, ezek a kiberbűnözők erősen hajlanak az adatok kiszűrésére. Érdekes módon olyan esetekről számoltak be, amikor a Hunters International fertőzései semmilyen titkosítással nem jártak.

A kettős zsarolási taktika alkalmazása figyelemre méltó tendencia, különösen az olyan csoportok körében, mint a Hunters International, amelyek nagy entitásokat, például vállalatokat és szervezeteket céloznak meg, szemben az egyéni felhasználókkal. Ellentétben néhány fenyegető szereplővel, akik szelektivitást mutatnak célpontjaikban, a Hunters International úgy tűnik, hogy opportunistább megközelítést alkalmaz a fertőzések terén.

A Hunters International tevékenységeinek földrajzi hatóköre széles, dokumentált támadásokat jegyeztek fel Észak- és Közép-Amerikában, Európában, Ázsiában és Afrikában. Ez a széles körben elterjedt elterjedtség arra utal, hogy hiányzik a szigorú szelektivitás bizonyos régiók megcélzása során, ami tovább hangsúlyozza az e fenyegető szereplő által végrehajtott támadások opportunista jellegét.

A Hunters International Ransomware a kaptárveszélyen alapul

A Hunters International a Rust programozási nyelven van kódolva, igazodva a legújabb rosszindulatú programkódolási trendekhez. Nevezetesen, az eredeti Hive Ransomware a C programozási nyelvet és a Golangot használta működéséhez.

A Hunters International ismert változatának kódját a Hive korábbi iterációival összehasonlítva nyilvánvalóvá válik, hogy a kód észrevehetően leegyszerűsödött. A zsarolóprogramért felelős csoport elismerte ezt a módosítást, és elégedetlenségét fejezte ki az eredeti kód hibáival kapcsolatban. E hibák némelyike elég súlyos volt ahhoz, hogy akadályozza a sikeres visszafejtést, ezért finomításra volt szükség.

Bár megjelentek olyan nyilatkozatok, amelyek megerősítik a hibák kijavítását és a fájl-helyreállítás akadályainak felszámolását, a rosszindulatú programok elemzői a Hunters International elhúzódó hibáit azonosították. Ez ahhoz az uralkodó vélekedéshez vezetett, hogy a ransomware még mindig fejlesztés és finomítás alatt áll.

A Hunters International egyik figyelemre méltó jellemzője az alkalmazkodóképesség, amely több szempontból is lehetővé teszi a testreszabást. A felhasználók speciális kiterjesztéseket adhatnak hozzá a zárolt fájlokhoz, törölhetik az árnyékkötet-másolatokat, és megszüntethetik az egyéb adat-helyreállítási lehetőségeket. Ezenkívül a ransomware lehetővé teszi a felhasználók számára, hogy meghatározzák a titkosításhoz szükséges minimális fájlméretet. Kulcsfontosságú kiemelni, hogy a Hunters International az összes fájl módosítására szolgál, csak az előre meghatározott fájlformátumok és könyvtárak kivételével. Ez a testreszabási szint bizonyos fokú kifinomultságot sugall a ransomware kialakításában és funkcionalitásában.