Hunters International Ransomware

Hunters International on ilkeä ohjelma, joka liittyy äskettäin tunnistettuun ransomware-organisaatioon, joka toimii Hunters Internationalin alaisuudessa. Perinteisesti lunnasohjelmat on suunniteltu salaamaan uhrin tiedot ja vaativat lunnaita vastineeksi salauksen purkamisesta. Hunters Internationalin erottuva piirre on kuitenkin siinä, että se keskittyy tietojen suodattamiseen suurista yksiköistä pelkän tiedostojen salaamisen sijaan. Tätä väitettä tukevat dokumentoidut hyökkäykset, jotka johtuvat tästä kiristysohjelmasta.

Tarkasteltaessa Hunters Internationalin uhkaa on havaittu, että lunnasohjelma liittää salattuja tiedostoja .locked-tunnisteella. Esimerkiksi tiedosto, jonka alkuperäinen nimi oli "1.jpg", muutetaan muotoon "1.jpg.locked" ja "2.png" muotoon "2.png.locked" ja niin edelleen. On huomionarvoista, että tällä nimenomaisella kiristysohjelmalla on kyky ohittaa tiedostonimien muuttaminen. Salausprosessin päätyttyä kiristysohjelma tallettaa lunnasilmoituksen, jonka otsikko on "Contact Us.txt".

Hunters Internationalin ajateltiin olevan aikaisemman Ransomware Groupin uusi tuotemerkki

Aluksi spekuloitiin, että Hunters International olisi voinut syntyä Hive ransomware -ryhmän uudelleenbrändäysponnistelujen seurauksena. Tämä oletus perustui molempien ohjelmien koodien merkittävään 60 %:n vastaavuuteen. Erityisesti FBI ja Europol olivat onnistuneesti estäneet Hiven toiminnan tammikuussa 2023.

Toisin kuin uudelleenbrändäyshypoteesi, Hunters International Ransomwareen liittyvän ryhmän julkaisema lausunto kumosi tällaiset väitteet. Uhkatoimijan mukaan he hankkivat Hiven lähdekoodin ja infrastruktuurin jo lakkautetulta Hive-ryhmältä, minkä väitteen tueksi on myös lisätodisteita.

Hunters Internationalin toiminnallinen painopiste erottaa sen tavanomaisista kiristysohjelmista, mistä ovat osoituksena sekä ryhmän lausunnot että dokumentoidut hyökkäykset. Sen sijaan, että nämä kyberrikolliset painottaisivat tiedostojen salausta, ne näyttävät taipuvan voimakkaasti tietojen suodattamiseen. Mielenkiintoista on, että on raportoitu tapauksia, joissa Hunters Internationalin tartunnat eivät sisältäneet minkäänlaista salausta.

Kaksinkertaisen kiristyksen taktiikka on huomattava trendi erityisesti Hunters Internationalin kaltaisten ryhmien keskuudessa, jotka kohdistuvat suuriin kokonaisuuksiin, kuten yrityksiin ja organisaatioihin, toisin kuin yksittäisiin käyttäjiin. Toisin kuin jotkin uhkatoimijat, jotka osoittavat valikoivuutta kohteissaan, Hunters International näyttää omaksuvan opportunistisemman lähestymistavan tartuntojaan.

Hunters Internationalin toiminnan maantieteellinen ulottuvuus on laaja, ja dokumentoituja hyökkäyksiä on havaittu Pohjois- ja Keski-Amerikassa, Euroopassa, Aasiassa ja Afrikassa. Tämä laajalle levinnyt leviäminen viittaa tiukan valikoivuuden puutteeseen tietyille alueille kohdistettaessa, mikä korostaa entisestään tämän uhkatoimijan tekemien hyökkäysten opportunistista luonnetta.

Hunters International Ransomware perustuu hive-uhkaan

Hunters International on koodattu Rust-ohjelmointikielellä, mikä vastaa viimeaikaisia haittaohjelmien koodaustrendejä. Erityisesti alkuperäinen Hive Ransomware käytti toiminnassaan C-ohjelmointikieltä ja Golangia.

Kun Hunters Internationalin tunnetun muunnelman koodia verrataan Hiven aikaisempiin iteraatioihin, käy ilmi, että koodi on huomattavasti yksinkertaistunut. Kiristysohjelmasta vastaava ryhmä myönsi tämän muutoksen ja ilmaisi tyytymättömyytensä alkuperäisen koodin virheisiin. Jotkut näistä virheistä olivat tarpeeksi vakavia estääkseen onnistuneen salauksen purkamisen, mikä vaati tarkennusta.

Vaikka lausuntoja on julkaistu, joissa vahvistetaan virheiden korjaaminen ja tiedostojen palautuksen esteiden poistaminen, haittaohjelmaanalyytikot ovat havainneet Hunters Internationalissa viipyviä puutteita. Tämä on johtanut vallitsevaan uskomukseen, että kiristysohjelmia kehitetään ja parannellaan edelleen.

Yksi Hunters Internationalin huomattavista ominaisuuksista on sen mukautumiskyky, joka mahdollistaa räätälöinnin useissa eri osissa. Käyttäjät voivat sisällyttää tiettyjä laajennuksia lisättäväksi lukittuihin tiedostoihin, poistaa Shadow Volume Copies -kopiot ja poistaa muita tietojen palautustapoja. Lisäksi ransomware antaa käyttäjille mahdollisuuden määrittää salaukseen vaadittavan vähimmäistiedoston koon. On tärkeää korostaa, että Hunters International on suunniteltu muokkaamaan kaikkia tiedostoja, lukuun ottamatta vain ennalta määrättyjä tiedostomuotoja ja hakemistoja. Tämä räätälöinnin taso viittaa ransomwaren suunnittelun ja toiminnallisuuden tiettyyn hienostuneisuuteen.