Хунтерс Интернатионал Рансомваре

Хунтерс Интернатионал је подли програм повезан са недавно идентификованом рансомваре организацијом која ради под 'Хунтерс Интернатионал'. Традиционално, рансомваре је дизајниран да шифрује податке жртве, захтевајући откуп у замену за дешифровање. Међутим, карактеристичан аспект Хунтерс Интернатионал-а лежи у његовом декларисаном фокусу на ексфилтрацију података из великих ентитета, а не само на шифровање датотека. Ова тврдња је подржана документованим нападима који се приписују овој одећи за рансомваре.

Након детаљнијег испитивања претње Хунтерс Интернатионал, примећено је да рансомваре додаје шифроване датотеке са екстензијом „.лоцкед“. На пример, датотека првобитно названа '1.јпг' би била трансформисана у '1.јпг.лоцкед', а '2.пнг' у '2.пнг.лоцкед' и тако даље. Важно је напоменути да овај одређени рансомваре поседује могућност да заобиђе промену назива датотека. Након завршетка процеса шифровања, рансомваре депонује белешку о откупу под називом „Контактирајте нас.ткт“.

Сматрало се да је Хунтерс Интернатионал ребренд претходне Рансомваре групе

У почетку се спекулисало да је Хунтерс Интернатионал можда настао као резултат покушаја ребрендирања групе Хиве рансомваре. Ова претпоставка је заснована на значајном подударању од 60% у кодовима оба програма. Наиме, ФБИ и Еуропол су успешно осујетили операције Хивеа у јануару 2023.

Супротно хипотези о ребрендирању, изјава коју је објавила група повезана са Хунтерс Интернатионал Рансомваре-ом оповргава такве тврдње. Према актеру претње, они су набавили Хиве-ов изворни код и инфраструктуру од сада непостојеће групе Хиве, тврдњу која је такође поткријепљена додатним доказима.

Оперативни фокус Хунтерс Интернатионал-а разликује га од конвенционалног рансомваре-а, о чему сведоче и изјаве групе и документовани напади. Уместо да наглашавају шифровање датотека, чини се да ови сајбер криминалци у великој мери нагињу ексфилтрацији података. Интригантно је да су пријављени случајеви у којима инфекције од стране Хунтерс Интернатионал-а нису укључивале било какав облик шифровања.

Усвајање тактике двоструке изнуде је приметан тренд, посебно међу групама попут Хунтерс Интернатионал-а које циљају на велике ентитете као што су компаније и организације, за разлику од појединачних корисника. За разлику од неких актера претњи који показују селективност у својим метама, чини се да Хунтерс Интернатионал усваја опортунистички приступ у својим инфекцијама.

Географски опсег активности Хунтерс Интернатионал-а је широк, са документованим нападима забележеним у Северној и Централној Америци, Европи, Азији и Африци. Ова распрострањена дистрибуција указује на недостатак строге селективности у циљању одређених региона, додатно наглашавајући опортунистичку природу напада које спроводи овај актер претње.

Хунтерс Интернатионал Рансомваре је заснован на претњи кошнице

Хунтерс Интернатионал је кодиран у програмском језику Руст, у складу са недавним трендовима кодирања малвера. Значајно је да је оригинални Хиве Рансомваре користио програмски језик Ц и Голанг за своје операције.

Упоређујући код познате варијанте Хунтерс Интернатионал-а са претходним итерацијама Хиве-а, постаје очигледно да је код приметно поједностављен. Група одговорна за рансомваре је признала ову модификацију, изражавајући незадовољство грешкама које су присутне у оригиналном коду. Неке од ових грешака биле су довољно озбиљне да ометају успешно дешифровање, што је изазвало потребу за прецизирањем.

Иако су објављене изјаве које потврђују исправљање грешака и елиминисање препрека за опоравак датотека, аналитичари малвера су идентификовали недостатке у Хунтерс Интернатионал-у. Ово је довело до преовлађујућег уверења да је рансомвер још увек у фази развоја и усавршавања.

Једна значајна карактеристика Хунтерс Интернатионал-а је његова прилагодљивост, која омогућава прилагођавање у неколико аспеката. Корисници могу укључити одређене екстензије које ће се додати закључаним датотекама, избрисати копије сенки и елиминисати друге начине опоравка података. Поред тога, рансомваре омогућава корисницима да одреде минималну величину датотеке потребну за шифровање. Кључно је нагласити да је Хунтерс Интернатионал дизајниран да модификује све датотеке, искључујући само унапред одређене формате датотека и директоријуме. Овај ниво прилагођавања сугерише степен софистицираности у дизајну и функционалности рансомвера.