Hunters International Ransomware

The Hunters International je hanebný program spojený s nedávno identifikovanou ransomwarovou organizací působící pod 'Hunters International'. Tradičně je ransomware navržen tak, aby zašifroval data oběti a požadoval výkupné výměnou za dešifrování. Charakteristický aspekt Hunters International však spočívá v jejím deklarovaném zaměření na exfiltraci dat z velkých subjektů, spíše než na pouhé šifrování souborů. Toto tvrzení podporují zdokumentované útoky připisované tomuto ransomwaru.

Při bližším zkoumání hrozby Hunters International bylo zjištěno, že ransomware připojuje zašifrované soubory s příponou „.locked“. Například soubor původně pojmenovaný '1.jpg' by byl transformován na '1.jpg.locked' a '2.png' na '2.png.locked' a tak dále. Je pozoruhodné, že tento konkrétní ransomware má schopnost obejít změny názvů souborů. Po dokončení procesu šifrování ransomware uloží výkupné s názvem „Kontaktujte nás.txt“.

Společnost Hunters International byla považována za rebrand předchozí skupiny Ransomware

Zpočátku se spekulovalo o tom, že Hunters International se mohla objevit v důsledku rebrandingových snah skupiny Hive ransomware. Tento předpoklad byl založen na významné 60% shodě v kódech obou programů. Je pozoruhodné, že FBI a Europol úspěšně zmařily operace Hive v lednu 2023.

Na rozdíl od hypotézy rebrandingu, prohlášení vydané skupinou spojenou s Hunters International Ransomware taková tvrzení vyvrátilo. Podle aktéra hrozby získali zdrojový kód a infrastrukturu Hive od nyní již neexistující skupiny Hive, což je tvrzení, které bylo také podpořeno dalšími důkazy.

Operační zaměření Hunters International ji odlišuje od konvenčního ransomwaru, což dokazují jak prohlášení skupiny, tak zdokumentované útoky. Zdá se, že spíše než důraz na šifrování souborů se tito kyberzločinci silně přiklánějí k exfiltraci dat. Je zajímavé, že byly hlášeny případy, kdy infekce Hunters International nezahrnovaly žádnou formu šifrování.

Přijetí taktiky dvojitého vydírání je pozoruhodný trend, zejména mezi skupinami jako Hunters International, které se zaměřují na velké subjekty, jako jsou společnosti a organizace, na rozdíl od jednotlivých uživatelů. Na rozdíl od některých aktérů hrozeb, kteří projevují selektivitu ve svých cílech, se zdá, že Hunters International přijímá při svých infekcích oportunističtější přístup.

Geografický rozsah aktivit Hunters International je široký, s dokumentovanými útoky zaznamenanými v Severní a Střední Americe, Evropě, Asii a Africe. Tato rozšířená distribuce naznačuje nedostatek přísné selektivity při zaměřování na konkrétní regiony, což dále zdůrazňuje oportunní povahu útoků prováděných tímto aktérem hrozby.

The Hunters International Ransomware je založen na Hive Threat

The Hunters International je kódován v programovacím jazyce Rust, což je v souladu s nedávnými trendy v kódování malwaru. Pozoruhodné je, že původní Hive Ransomware využíval pro své operace programovací jazyk C a Golang.

Při porovnání kódu známé varianty Hunters International s předchozími iteracemi Hive je zřejmé, že kód se znatelně zjednodušil. Skupina odpovědná za ransomware tuto úpravu uznala a vyjádřila nespokojenost s chybami přítomnými v původním kódu. Některé z těchto chyb byly natolik závažné, že bránily úspěšnému dešifrování, což vyvolalo potřebu upřesnění.

Přestože byla zveřejněna prohlášení potvrzující nápravu chyb a odstranění překážek obnovy souborů, analytici malwaru identifikovali přetrvávající nedostatky v Hunters International. To vedlo k převládajícímu přesvědčení, že ransomware stále prochází vývojem a zdokonalováním.

Jedním z pozoruhodných rysů Hunters International je jeho přizpůsobivost, která umožňuje přizpůsobení v několika aspektech. Uživatelé mohou zahrnout konkrétní přípony, které se mají přidat do uzamčených souborů, odstranit stínové kopie svazků a odstranit další možnosti obnovy dat. Ransomware navíc umožňuje uživatelům určit minimální velikost souboru potřebnou pro šifrování. Je důležité zdůraznit, že Hunters International je navržen tak, aby upravoval všechny soubory, s výjimkou pouze předem určených formátů souborů a adresářů. Tato úroveň přizpůsobení naznačuje určitou míru sofistikovanosti v designu a funkčnosti ransomwaru.