Hunters International Ransomware

Το Hunters International είναι ένα κακόβουλο πρόγραμμα που σχετίζεται με έναν πρόσφατα αναγνωρισμένο οργανισμό ransomware που λειτουργεί υπό το "Hunters International". Παραδοσιακά, το ransomware έχει σχεδιαστεί για να κρυπτογραφεί τα δεδομένα ενός θύματος, ζητώντας λύτρα με αντάλλαγμα την αποκρυπτογράφηση. Ωστόσο, η ξεχωριστή πτυχή του Hunters International έγκειται στη δηλωμένη εστίασή του στην εξαγωγή δεδομένων από μεγάλες οντότητες και όχι στην αποκλειστική κρυπτογράφηση αρχείων. Αυτός ο ισχυρισμός υποστηρίζεται από τεκμηριωμένες επιθέσεις που αποδίδονται σε αυτό το εξάρτημα ransomware.

Μετά από προσεκτικότερη εξέταση της απειλής του Hunters International, παρατηρήθηκε ότι το ransomware προσαρτά κρυπτογραφημένα αρχεία με επέκταση «.locked». Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.jpg" θα μετατραπεί σε "1.jpg.locked" και "2.png" σε "2.png.locked" και ούτω καθεξής. Αξιοσημείωτο είναι ότι το συγκεκριμένο ransomware διαθέτει τη δυνατότητα να παρακάμπτει την αλλαγή των ονομάτων αρχείων. Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, το ransomware καταθέτει ένα σημείωμα λύτρων με τίτλο "Επικοινωνήστε μαζί μας.txt".

Το Hunters International θεωρήθηκε ότι ήταν ένα Rebrand του προηγούμενου Ομίλου Ransomware

Αρχικά, υπήρχαν εικασίες ότι η Hunters International μπορεί να εμφανίστηκε ως αποτέλεσμα των προσπαθειών αλλαγής επωνυμίας από την ομάδα ransomware Hive. Αυτή η υπόθεση βασίστηκε σε μια σημαντική αντιστοίχιση 60% στους κωδικούς και των δύο προγραμμάτων. Συγκεκριμένα, το FBI και η Europol είχαν αποτρέψει με επιτυχία τις επιχειρήσεις της Hive τον Ιανουάριο του 2023.

Σε αντίθεση με την υπόθεση της αλλαγής επωνυμίας, μια δήλωση που κυκλοφόρησε από την ομάδα που σχετίζεται με το Hunters International Ransomware αντέκρουσε τέτοιους ισχυρισμούς. Σύμφωνα με τον ηθοποιό απειλών, απέκτησαν τον πηγαίο κώδικα και την υποδομή του Hive από την πλέον ανενεργή ομάδα Hive, ένας ισχυρισμός που έχει επίσης υποστηριχθεί από πρόσθετα στοιχεία.

Η επιχειρησιακή εστίαση του Hunters International το διακρίνει από το συμβατικό ransomware, όπως αποδεικνύεται τόσο από δηλώσεις της ομάδας όσο και από τεκμηριωμένες επιθέσεις. Αντί να δίνουν έμφαση στην κρυπτογράφηση αρχείων, αυτοί οι εγκληματίες του κυβερνοχώρου φαίνεται να κλίνουν σε μεγάλο βαθμό προς τη διείσδυση δεδομένων. Περιέργως, έχουν αναφερθεί περιπτώσεις όπου οι μολύνσεις από το Hunters International δεν περιλάμβαναν καμία μορφή κρυπτογράφησης.

Η υιοθέτηση τακτικών διπλού εκβιασμού είναι μια αξιοσημείωτη τάση, ειδικά μεταξύ ομάδων όπως η Hunters International που στοχεύουν μεγάλες οντότητες όπως εταιρείες και οργανισμούς, σε αντίθεση με μεμονωμένους χρήστες. Σε αντίθεση με ορισμένους παράγοντες απειλών που επιδεικνύουν επιλεκτικότητα στους στόχους τους, η Hunters International φαίνεται να υιοθετεί μια πιο ευκαιριακή προσέγγιση στις μολύνσεις της.

Το γεωγραφικό εύρος των δραστηριοτήτων της Hunters International είναι ευρύ, με τεκμηριωμένες επιθέσεις να σημειώνονται στη Βόρεια και Κεντρική Αμερική, την Ευρώπη, την Ασία και την Αφρική. Αυτή η ευρεία διανομή υποδηλώνει έλλειψη αυστηρής επιλεκτικότητας στη στόχευση συγκεκριμένων περιοχών, υπογραμμίζοντας περαιτέρω τον ευκαιριακό χαρακτήρα των επιθέσεων που πραγματοποιούνται από αυτόν τον παράγοντα απειλής.

Το Hunters International Ransomware βασίζεται στην απειλή της κυψέλης

Το Hunters International είναι κωδικοποιημένο στη γλώσσα προγραμματισμού Rust, ευθυγραμμιζόμενο με τις πρόσφατες τάσεις κωδικοποίησης κακόβουλου λογισμικού. Συγκεκριμένα, το αρχικό Hive Ransomware χρησιμοποίησε τη γλώσσα προγραμματισμού C και το Golang για τις λειτουργίες του.

Συγκρίνοντας τον κώδικα της γνωστής παραλλαγής του Hunters International με προηγούμενες επαναλήψεις του Hive, γίνεται φανερό ότι ο κώδικας έχει απλοποιηθεί αισθητά. Η ομάδα που είναι υπεύθυνη για το ransomware αναγνώρισε αυτήν την τροποποίηση, εκφράζοντας τη δυσαρέσκειά της για τα σφάλματα που υπάρχουν στον αρχικό κώδικα. Μερικά από αυτά τα σφάλματα ήταν αρκετά σοβαρά ώστε να εμποδίσουν την επιτυχή αποκρυπτογράφηση, προκαλώντας την ανάγκη για βελτίωση.

Παρόλο που έχουν δημοσιευτεί δηλώσεις που επιβεβαιώνουν τη διόρθωση σφαλμάτων και την εξάλειψη των εμποδίων στην ανάκτηση αρχείων, οι αναλυτές κακόβουλου λογισμικού έχουν εντοπίσει παρατεταμένες ατέλειες στο Hunters International. Αυτό οδήγησε στην επικρατούσα πεποίθηση ότι το ransomware εξακολουθεί να βρίσκεται υπό ανάπτυξη και βελτίωση.

Ένα αξιοσημείωτο χαρακτηριστικό του Hunters International είναι η προσαρμοστικότητά του, επιτρέποντας την προσαρμογή σε πολλές πτυχές. Οι χρήστες μπορούν να συμπεριλάβουν συγκεκριμένες επεκτάσεις που θα προστεθούν σε κλειδωμένα αρχεία, να διαγράψουν τα Σκιώδη αντίγραφα τόμου και να εξαλείψουν άλλους τρόπους ανάκτησης δεδομένων. Επιπλέον, το ransomware επιτρέπει στους χρήστες να καθορίσουν ένα ελάχιστο μέγεθος αρχείου που απαιτείται για την κρυπτογράφηση. Είναι σημαντικό να τονιστεί ότι το Hunters International έχει σχεδιαστεί για να τροποποιεί όλα τα αρχεία, αποκλείοντας μόνο προκαθορισμένες μορφές αρχείων και καταλόγους. Αυτό το επίπεδο προσαρμογής υποδηλώνει έναν βαθμό πολυπλοκότητας στον σχεδιασμό και τη λειτουργικότητα του ransomware.