Hunters International рансъмуер

The Hunters International е зловеща програма, свързана с наскоро идентифицирана организация за рансъмуер, работеща под „Hunters International“. Традиционно рансъмуерът е предназначен да криптира данните на жертвата, като изисква откуп в замяна на дешифриране. Въпреки това, отличителният аспект на Hunters International се крие в декларирания фокус върху извличането на данни от големи обекти, а не само върху криптиране на файлове. Това твърдение е подкрепено от документирани атаки, приписвани на този рансъмуер.

При по-внимателно изследване на заплахата Hunters International беше забелязано, че рансъмуерът добавя криптирани файлове с разширение „.locked“. Например, файл с първоначално име „1.jpg“ ще бъде трансформиран в „1.jpg.locked“, а „2.png“ в „2.png.locked“ и т.н. Трябва да се отбележи, че този конкретен ransomware притежава способността да заобикаля промяната на имената на файловете. След завършване на процеса на криптиране рансъмуерът депозира бележка за откуп, озаглавена „Свържете се с нас.txt“.

Смяташе се, че Hunters International е ребранд на предишна Ransomware Group

Първоначално имаше спекулации, че Hunters International може да се е появила в резултат на усилията за ребрандиране на групата Hive ransomware. Това предположение се основаваше на значително съвпадение от 60% в кодовете на двете програми. Трябва да се отбележи, че ФБР и Европол успешно осуетиха операциите на Hive през януари 2023 г.

Противно на хипотезата за ребрандиране, изявление, публикувано от групата, свързана с Hunters International Ransomware, опровергава подобни твърдения. Според заплахата, те са придобили изходния код и инфраструктурата на Hive от вече несъществуващата група Hive, твърдение, което също е подкрепено с допълнителни доказателства.

Оперативният фокус на Hunters International го отличава от конвенционалния ransomware, както се вижда от изявленията на групата и документираните атаки. Вместо да наблягат на криптирането на файлове, тези киберпрестъпници изглежда силно клонят към ексфилтриране на данни. Интересно е, че са докладвани случаи, при които инфекциите от Hunters International не включват никаква форма на криптиране.

Възприемането на тактики за двойно изнудване е забележителна тенденция, особено сред групи като Hunters International, които са насочени към големи субекти като компании и организации, за разлика от отделни потребители. За разлика от някои заплахи, които проявяват селективност в своите цели, Hunters International изглежда възприема по-опортюнистичен подход при своите инфекции.

Географският обхват на дейността на Hunters International е широк, с документирани атаки, отбелязани в Северна и Централна Америка, Европа, Азия и Африка. Това широко разпространено разпространение предполага липса на стриктна селективност при насочване към конкретни региони, което допълнително подчертава опортюнистичния характер на атаките, извършвани от този заплашителен актьор.

Hunters International Ransomware се основава на заплахата Hive

Hunters International е кодиран на езика за програмиране Rust, в съответствие с последните тенденции в кодирането на зловреден софтуер. Трябва да се отбележи, че оригиналният рансъмуер Hive използва езика за програмиране C и Golang за своите операции.

Сравнявайки кода на известния вариант на Hunters International с предишни итерации на Hive, става ясно, че кодът е значително опростен. Групата, отговорна за рансъмуера, призна тази модификация, изразявайки недоволство от грешките, присъстващи в оригиналния код. Някои от тези грешки бяха достатъчно сериозни, за да възпрепятстват успешното декриптиране, което доведе до необходимостта от усъвършенстване.

Въпреки че бяха публикувани изявления, потвърждаващи коригирането на грешките и елиминирането на пречките пред възстановяването на файлове, анализаторите на зловреден софтуер идентифицираха оставащи недостатъци в Hunters International. Това доведе до преобладаващото убеждение, че рансъмуерът все още е в процес на развитие и усъвършенстване.

Една забележителна характеристика на Hunters International е неговата адаптивност, позволяваща персонализиране в няколко аспекта. Потребителите могат да включват специфични разширения, които да се добавят към заключени файлове, да изтриват Shadow Volume Copies и да елиминират други пътища за възстановяване на данни. Освен това рансъмуерът позволява на потребителите да определят минимален размер на файла, необходим за криптиране. От решаващо значение е да се подчертае, че Hunters International е проектиран да променя всички файлове, с изключение само на предварително определени файлови формати и директории. Това ниво на персонализиране предполага известна степен на усъвършенстване на дизайна и функционалността на рансъмуера.