باج افزار شکارچی بین المللی

Hunters International یک برنامه شرور مرتبط با یک سازمان باج افزاری است که اخیراً شناسایی شده است که تحت "Hunters International" فعالیت می کند. به طور سنتی، باج افزار برای رمزگذاری داده های قربانی طراحی شده است و در ازای رمزگشایی، باج می خواهد. با این حال، جنبه متمایز Hunters International در تمرکز اعلام شده آن بر استخراج داده ها از نهادهای بزرگ به جای رمزگذاری صرف فایل ها نهفته است. این ادعا توسط حملات مستند منتسب به این باج افزار پشتیبانی می شود.

با بررسی دقیق تر تهدید Hunters International، مشاهده شد که باج افزار فایل های رمزگذاری شده با پسوند ".locked" را اضافه می کند. برای مثال، فایلی با نام اصلی "1.jpg" به "1.jpg.locked" و "2.png" به "2.png.locked" و غیره تبدیل می‌شود. قابل ذکر است که این باج افزار خاص دارای قابلیت دور زدن تغییر نام فایل ها است. پس از تکمیل فرآیند رمزگذاری، باج‌افزار یک یادداشت باج با عنوان "Contact Us.txt" را به شما سپرده می‌شود.

تصور می شد که Hunters International یک برند جدید از گروه باج افزار قبلی باشد

در ابتدا، گمانه زنی هایی وجود داشت مبنی بر اینکه Hunters International ممکن است در نتیجه تلاش های تغییر نام تجاری توسط گروه باج افزار Hive پدیدار شود. این فرض بر اساس تطابق قابل توجه 60 درصدی در کدهای هر دو برنامه بود. قابل ذکر است، اف بی آی و یوروپل با موفقیت عملیات هایو را در ژانویه 2023 خنثی کردند.

برخلاف فرضیه تغییر نام تجاری، بیانیه ای که توسط گروه مرتبط با باج افزار بین المللی شکارچی منتشر شد، چنین ادعاهایی را رد کرد. به گفته بازیگر تهدید، آنها کد منبع و زیرساخت Hive را از گروه منحل شده Hive به دست آوردند، ادعایی که توسط شواهد اضافی نیز تأیید شده است.

تمرکز عملیاتی Hunters International آن را از باج افزارهای معمولی متمایز می کند، همانطور که در بیانیه های این گروه و حملات مستند مشهود است. به‌نظر می‌رسد این مجرمان سایبری به‌جای تأکید بر رمزگذاری فایل‌ها، به شدت به سمت استخراج داده‌ها تمایل دارند. به طرز جالبی، مواردی گزارش شده است که در آن عفونت ها توسط Hunters International شامل هیچ شکلی از رمزگذاری نبوده است.

اتخاذ تاکتیک‌های اخاذی مضاعف یک روند قابل توجه است، به‌ویژه در میان گروه‌هایی مانند Hunters International که نهادهای بزرگی مانند شرکت‌ها و سازمان‌ها را در مقابل کاربران فردی هدف قرار می‌دهند. برخلاف برخی از بازیگران تهدید که در اهداف خود گزینش پذیری از خود نشان می دهند، به نظر می رسد Hunters International رویکرد فرصت طلبانه تری را در مورد آلودگی های خود اتخاذ می کند.

دامنه جغرافیایی فعالیت های Hunters International گسترده است، با حملات مستند در آمریکای شمالی و مرکزی، اروپا، آسیا و آفریقا. این توزیع گسترده حاکی از عدم انتخاب دقیق در هدف قرار دادن مناطق خاص است که بر ماهیت فرصت طلبانه حملات انجام شده توسط این عامل تهدید تأکید می کند.

باج افزار شکارچی بین المللی بر اساس تهدید کندو ساخته شده است

Hunters International به زبان برنامه نویسی Rust کدگذاری شده است و با روندهای اخیر کدگذاری بدافزار هماهنگ است. قابل ذکر است که باج افزار Hive اصلی از زبان برنامه نویسی C و Golang برای عملیات خود استفاده می کرد.

با مقایسه کد نوع شناخته شده Hunters International با تکرارهای قبلی Hive، مشخص می شود که کد به طور قابل توجهی ساده شده است. گروهی که مسئول باج‌افزار است، این اصلاح را تأیید کرد و از خطاهای موجود در کد اصلی ابراز نارضایتی کرد. برخی از این خطاها به اندازه کافی شدید بودند که مانع از رمزگشایی موفقیت آمیز شدند و نیاز به اصلاح را برانگیختند.

اگرچه اظهاراتی مبنی بر تصحیح خطاها و از بین بردن موانع بازیابی فایل منتشر شده است، تحلیلگران بدافزار نقص‌هایی را در Hunters International شناسایی کرده‌اند. این منجر به این باور رایج شده است که باج افزار هنوز در حال توسعه و اصلاح است.

یکی از ویژگی های قابل توجه Hunters International سازگاری آن است که امکان سفارشی سازی در چندین جنبه را فراهم می کند. کاربران می توانند پسوندهای خاصی را اضافه کنند تا به فایل های قفل شده اضافه شوند، کپی های حجم سایه را حذف کنند و دیگر راه های بازیابی اطلاعات را حذف کنند. علاوه بر این، باج افزار به کاربران امکان می دهد حداقل اندازه فایل مورد نیاز برای رمزگذاری را مشخص کنند. مهم است که تاکید کنیم که Hunters International برای تغییر همه فایل‌ها طراحی شده است، به استثنای فرمت‌های فایل از پیش تعیین‌شده و فهرست‌های راهنما. این سطح از سفارشی سازی نشان دهنده درجه ای از پیچیدگی در طراحی و عملکرد باج افزار است.