Hunters International Ransomware

Hunters International ir nežēlīga programma, kas saistīta ar nesen identificētu izspiedējvīrusu organizāciju, kas darbojas saskaņā ar Hunters International. Tradicionāli izpirkuma programmatūra ir paredzēta upura datu šifrēšanai, pieprasot izpirkuma maksu apmaiņā pret atšifrēšanu. Tomēr Hunters International īpašais aspekts ir tā deklarētā koncentrēšanās uz datu izfiltrēšanu no lielām vienībām, nevis tikai failu šifrēšanu. Šo apgalvojumu apstiprina dokumentēti uzbrukumi, kas attiecināti uz šo izspiedējvīrusu komplektu.

Rūpīgāk izpētot Hunters International draudus, tika novērots, ka izspiedējprogrammatūra pievieno šifrētus failus ar paplašinājumu ".locked". Piemēram, fails ar sākotnējo nosaukumu "1.jpg" tiks pārveidots par "1.jpg.locked" un "2.png" par "2.png.locked" un tā tālāk. Jāatzīmē, ka šai konkrētajai izpirkuma programmatūrai ir iespēja apiet failu nosaukumu maiņu. Pēc šifrēšanas procesa pabeigšanas izpirkuma programmatūra nogulda izpirkuma maksu ar nosaukumu "Sazinieties ar mums.txt".

Tika uzskatīts, ka Hunters International ir iepriekšējās Ransomware grupas rebrends

Sākotnēji izskanēja pieņēmumi, ka Hunters International varētu būt radusies Hive ransomware grupas veiktās zīmola maiņas rezultātā. Šis pieņēmums tika balstīts uz ievērojamu 60% atbilstību abu programmu kodiem. Konkrēti, FIB un Eiropols 2023. gada janvārī bija veiksmīgi izjaukuši Hive darbību.

Pretēji zīmola maiņas hipotēzei, paziņojums, ko izplatīja grupa, kas saistīta ar Hunters International Ransomware, atspēkoja šādus apgalvojumus. Saskaņā ar draudu izpildītāja teikto, viņi iegādājās Hive pirmkodu un infrastruktūru no nu jau vairs neesošās Hive grupas, un šo apgalvojumu apstiprina arī papildu pierādījumi.

Hunters International darbības joma to atšķir no parastās izpirkuma programmatūras, par ko liecina gan grupas paziņojumi, gan dokumentēti uzbrukumi. Tā vietā, lai uzsvērtu failu šifrēšanu, šie kibernoziedznieki, šķiet, ļoti sliecas uz datu izfiltrēšanu. Interesanti, ka ir ziņots par gadījumiem, kad Hunters International inficēšanās nebija saistīta ar jebkāda veida šifrēšanu.

Divkāršas izspiešanas taktikas pieņemšana ir ievērojama tendence, jo īpaši starp tādām grupām kā Hunters International, kuru mērķauditorija ir lielas vienības, piemēram, uzņēmumi un organizācijas, nevis atsevišķi lietotāji. Atšķirībā no dažiem apdraudējuma dalībniekiem, kas izrāda selektivitāti savos mērķos, Hunters International, šķiet, izmanto oportūnistiskāku pieeju infekciju apkarošanai.

Hunters International darbības ģeogrāfiskais apjoms ir plašs, un dokumentēti uzbrukumi ir reģistrēti Ziemeļamerikā un Centrālamerikā, Eiropā, Āzijā un Āfrikā. Šī plaši izplatītā izplatība liecina par stingras selektivitātes trūkumu, mērķējot uz konkrētiem reģioniem, vēl vairāk uzsverot šī apdraudējuma dalībnieka veikto uzbrukumu oportūnistisko raksturu.

Hunters International Ransomware pamatā ir stropu draudi

Hunters International ir kodēts Rust programmēšanas valodā, kas atbilst jaunākajām ļaunprātīgas programmatūras kodēšanas tendencēm. Proti, sākotnējais Hive Ransomware savās darbībās izmantoja C programmēšanas valodu un Golang.

Salīdzinot zināmā Hunters International varianta kodu ar iepriekšējām Hive iterācijām, kļūst skaidrs, ka kods ir ievērojami vienkāršojies. Par izpirkuma programmatūru atbildīgā grupa atzina šo modifikāciju, paužot neapmierinātību ar sākotnējā kodā esošajām kļūdām. Dažas no šīm kļūdām bija pietiekami nopietnas, lai kavētu veiksmīgu atšifrēšanu, tādēļ bija nepieciešama pilnveidošana.

Lai gan ir publicēti paziņojumi, kas apstiprina kļūdu labošanu un šķēršļu novēršanu failu atkopšanai, ļaunprātīgas programmatūras analītiķi ir atklājuši ilgstošas Hunters International nepilnības. Tas ir radījis dominējošu uzskatu, ka izpirkuma programmatūra joprojām tiek izstrādāta un pilnveidota.

Viena ievērojama Hunters International iezīme ir tās pielāgošanās spēja, kas ļauj pielāgot vairākos aspektos. Lietotāji var iekļaut īpašus paplašinājumus, kas jāpievieno bloķētajiem failiem, dzēst ēnu sējuma kopijas un novērst citus datu atkopšanas veidus. Turklāt izpirkuma programmatūra ļauj lietotājiem norādīt minimālo faila lielumu, kas nepieciešams šifrēšanai. Ir ļoti svarīgi uzsvērt, ka Hunters International ir paredzēts visu failu modificēšanai, izņemot tikai iepriekš noteiktus failu formātus un direktorijus. Šis pielāgošanas līmenis liecina par izspiedējvīrusa dizaina un funkcionalitātes izsmalcinātību.