Hunters International-ransomware

The Hunters International is een snode programma dat verband houdt met een onlangs geïdentificeerde ransomware-organisatie die opereert onder de 'Hunters International'. Traditioneel wordt ransomware ontworpen om de gegevens van een slachtoffer te versleutelen, waarbij losgeld wordt geëist in ruil voor ontsleuteling. Het onderscheidende aspect van Hunters International ligt echter in de uitgesproken focus op data-exfiltratie van grote entiteiten in plaats van uitsluitend op het versleutelen van bestanden. Deze bewering wordt ondersteund door gedocumenteerde aanvallen die worden toegeschreven aan deze ransomware-groep.

Bij nader onderzoek van de Hunters International-dreiging is gebleken dat de ransomware versleutelde bestanden toevoegt met de extensie '.locked'. Een bestand dat oorspronkelijk '1.jpg' heette, zou bijvoorbeeld worden omgezet in '1.jpg.locked', en '2.png' in '2.png.locked', enzovoort. Het is opmerkelijk dat deze specifieke ransomware de mogelijkheid bezit om het wijzigen van de bestandsnamen te omzeilen. Nadat het coderingsproces is voltooid, plaatst de ransomware een losgeldbrief met de titel 'Contact Us.txt'.

Men dacht dat The Hunters International een rebrand was van de vorige Ransomware Group

Aanvankelijk werd gespeculeerd dat Hunters International mogelijk het resultaat was van de rebranding-inspanningen van de Hive-ransomwaregroep. Deze veronderstelling was gebaseerd op een significante overeenkomst van 60% in de codes van beide programma's. Met name de FBI en Europol hadden de operaties van Hive in januari 2023 met succes gedwarsboomd.

In tegenstelling tot de rebranding-hypothese weerlegde een verklaring van de groep geassocieerd met de Hunters International Ransomware dergelijke beweringen. Volgens de bedreigingsacteur hebben ze de broncode en infrastructuur van Hive overgenomen van de inmiddels ter ziele gegane Hive-groep, een claim die ook wordt ondersteund door aanvullend bewijs.

De operationele focus van Hunters International onderscheidt het van conventionele ransomware, zoals blijkt uit zowel verklaringen van de groep als gedocumenteerde aanvallen. In plaats van de nadruk te leggen op bestandsversleuteling, lijken deze cybercriminelen sterk te neigen naar gegevensexfiltratie. Het is intrigerend dat er gevallen zijn gemeld waarin bij infecties door Hunters International geen enkele vorm van encryptie betrokken was.

Het toepassen van dubbele afpersingstactieken is een opmerkelijke trend, vooral onder groepen als Hunters International die zich richten op grote entiteiten zoals bedrijven en organisaties, in tegenstelling tot individuele gebruikers. In tegenstelling tot sommige dreigingsactoren die selectiviteit vertonen bij hun doelwitten, lijkt Hunters International een meer opportunistische benadering te hanteren bij haar infecties.

De geografische reikwijdte van de activiteiten van Hunters International is breed, met gedocumenteerde aanvallen in Noord- en Midden-Amerika, Europa, Azië en Afrika. Deze wijdverspreide verspreiding duidt op een gebrek aan strikte selectiviteit bij het aanvallen op specifieke regio’s, wat de opportunistische aard van de aanvallen van deze dreigingsactor verder benadrukt.

De Hunters International Ransomware is gebaseerd op de Hive-dreiging

The Hunters International is gecodeerd in de programmeertaal Rust, in lijn met de recente trends op het gebied van malwarecodering. Met name de originele Hive Ransomware gebruikte de programmeertaal C en Golang voor zijn activiteiten.

Als je de code van de bekende variant van Hunters International vergelijkt met eerdere iteraties van Hive, wordt het duidelijk dat de code merkbaar is vereenvoudigd. De groep die verantwoordelijk was voor de ransomware erkende deze wijziging en uitte zijn ontevredenheid over de fouten in de originele code. Sommige van deze fouten waren ernstig genoeg om succesvolle decodering te belemmeren, waardoor verfijning nodig was.

Hoewel er verklaringen zijn vrijgegeven waarin de rectificatie van fouten en het wegnemen van obstakels voor bestandsherstel worden bevestigd, hebben malware-analisten aanhoudende tekortkomingen in Hunters International ontdekt. Dit heeft geleid tot de heersende overtuiging dat de ransomware nog steeds in ontwikkeling en verfijning is.

Een opvallend kenmerk van de Hunters International is het aanpassingsvermogen, waardoor maatwerk in verschillende aspecten mogelijk is. Gebruikers kunnen specifieke extensies toevoegen aan vergrendelde bestanden, de schaduwvolumekopieën verwijderen en andere mogelijkheden voor gegevensherstel elimineren. Bovendien stelt de ransomware gebruikers in staat een minimale bestandsgrootte op te geven die vereist is voor versleuteling. Het is van cruciaal belang om te benadrukken dat Hunters International is ontworpen om alle bestanden te wijzigen, met uitzondering van alleen vooraf bepaalde bestandsformaten en mappen. Dit aanpassingsniveau suggereert een zekere mate van verfijning in het ontwerp en de functionaliteit van de ransomware.