الصيادون الدوليون لطلب الفدية

يعد Hunters International برنامجًا شائنًا مرتبطًا بمنظمة برامج فدية تم تحديدها مؤخرًا وتعمل تحت مظلة "Hunters International". تقليديًا، تم تصميم برامج الفدية لتشفير بيانات الضحية، والمطالبة بفدية مقابل فك التشفير. ومع ذلك، فإن الجانب المميز لـ Hunters International يكمن في تركيزها المعلن على سرقة البيانات من الكيانات الكبيرة بدلاً من تشفير الملفات فقط. يتم دعم هذا التأكيد من خلال الهجمات الموثقة المنسوبة إلى مجموعة برامج الفدية هذه.

بعد الفحص الدقيق لتهديد Hunters International، لوحظ أن برنامج الفدية يُلحق ملفات مشفرة بامتداد ".locked". على سبيل المثال، سيتم تحويل الملف الذي كان اسمه في الأصل "1.jpg" إلى "1.jpg.locked" و"2.png" إلى "2.png.locked"، وهكذا. من الجدير بالذكر أن برنامج الفدية هذا يمتلك القدرة على تجاوز تغيير أسماء الملفات. بعد الانتهاء من عملية التشفير، يقوم برنامج الفدية بإيداع مذكرة فدية بعنوان "اتصل بنا.txt".

كان يُعتقد أن Hunters International هي علامة تجارية جديدة لمجموعة Ransomware Group السابقة

في البداية، كانت هناك تكهنات بأن شركة Hunters International ربما تكون قد ظهرت نتيجة لجهود إعادة تسمية العلامة التجارية التي قامت بها مجموعة Hive Ransomware. استند هذا الافتراض إلى تطابق كبير بنسبة 60% في رموز كلا البرنامجين. والجدير بالذكر أن مكتب التحقيقات الفيدرالي واليوروبول نجحا في إحباط عمليات Hive في يناير 2023.

وخلافًا لفرضية تغيير العلامة التجارية، دحض بيان صادر عن المجموعة المرتبطة ببرنامج Hunters International Ransomware هذه الادعاءات. وفقًا لمنفذ التهديد، فقد حصلوا على الكود المصدري والبنية التحتية لـ Hive من مجموعة Hive التي انتهت صلاحيتها الآن، وهو ادعاء تم دعمه أيضًا بأدلة إضافية.

إن التركيز العملياتي لمنظمة Hunters International يميزها عن برامج الفدية التقليدية، كما يتضح من تصريحات المجموعة والهجمات الموثقة. وبدلاً من التركيز على تشفير الملفات، يبدو أن مجرمي الإنترنت هؤلاء يميلون بشدة نحو سرقة البيانات. ومن المثير للاهتمام أنه تم الإبلاغ عن حالات لم تتضمن فيها العدوى من قبل Hunters International أي شكل من أشكال التشفير.

يعد اعتماد أساليب الابتزاز المزدوج اتجاهًا ملحوظًا، خاصة بين مجموعات مثل Hunters International التي تستهدف كيانات كبيرة مثل الشركات والمنظمات، بدلاً من المستخدمين الأفراد. على عكس بعض الجهات التهديدية التي تظهر انتقائية في أهدافها، يبدو أن Hunters International تتبنى نهجًا أكثر انتهازية في إصاباتها.

النطاق الجغرافي لأنشطة Hunters International واسع النطاق، حيث لوحظت هجمات موثقة في أمريكا الشمالية والوسطى وأوروبا وآسيا وأفريقيا. ويشير هذا التوزيع الواسع النطاق إلى الافتقار إلى الانتقائية الصارمة في استهداف مناطق محددة، مما يؤكد بشكل أكبر على الطبيعة الانتهازية للهجمات التي ينفذها ممثل التهديد هذا.

يعتمد برنامج Hunters International Ransomware على تهديد الخلية

يتم ترميز Hunters International بلغة برمجة Rust، بما يتماشى مع اتجاهات ترميز البرامج الضارة الحديثة. والجدير بالذكر أن برنامج Hive Ransomware الأصلي استخدم لغة البرمجة C وGolang في عملياته.

بمقارنة كود النسخة المعروفة من Hunters International مع التكرارات السابقة لـ Hive، يصبح من الواضح أن الكود قد تم تبسيطه بشكل ملحوظ. وأقرت المجموعة المسؤولة عن برنامج الفدية بهذا التعديل، معربة عن عدم رضاها عن الأخطاء الموجودة في الكود الأصلي. وكانت بعض هذه الأخطاء خطيرة بما يكفي لعرقلة عملية فك التشفير الناجحة، مما دفع إلى الحاجة إلى التحسين.

على الرغم من صدور بيانات تؤكد تصحيح الأخطاء وإزالة العوائق التي تحول دون استعادة الملفات، فقد حدد محللو البرامج الضارة العيوب المتبقية في Hunters International. وقد أدى هذا إلى الاعتقاد السائد بأن برنامج الفدية لا يزال قيد التطوير والتحسين.

إحدى الميزات البارزة في Hunters International هي قدرتها على التكيف، مما يسمح بالتخصيص في عدة جوانب. يمكن للمستخدمين تضمين ملحقات محددة لإضافتها إلى الملفات المقفلة، وحذف نسخ حجم الظل، وإزالة طرق استعادة البيانات الأخرى. بالإضافة إلى ذلك، يتيح برنامج الفدية للمستخدمين تحديد الحد الأدنى لحجم الملف المطلوب للتشفير. من المهم الإشارة إلى أن Hunters International مصممة لتعديل جميع الملفات، باستثناء تنسيقات الملفات والأدلة المحددة مسبقًا فقط. يشير هذا المستوى من التخصيص إلى درجة من التعقيد في تصميم برنامج الفدية ووظائفه.