Hunters International Ransomware

ה-Hunters International היא תוכנית מרושעת הקשורה לארגון תוכנות כופר שזוהה לאחרונה הפועל תחת 'האנטרס הבינלאומי'. באופן מסורתי, תוכנת כופר נועדה להצפין את הנתונים של הקורבן, ודורשת כופר בתמורה לפענוח. עם זאת, ההיבט הייחודי של האנטרס אינטרנשיונל טמון בהתמקדות המוצהרת שלו בהחלפת נתונים מגופים גדולים ולא בהצפנת קבצים בלבד. קביעה זו נתמכת על ידי התקפות מתועדות המיוחסות לתלבושת כופר זו.

לאחר בחינה מדוקדקת יותר של האיום Hunters International, נצפה כי תוכנת הכופר מצרפת קבצים מוצפנים עם סיומת '.locked'. לדוגמה, קובץ בשם במקור '1.jpg' יהפוך ל-'1.jpg.locked' ו-'2.png' ל-'2.png.locked' וכן הלאה. ראוי לציין כי לתוכנת הכופר הספציפית הזו יש את היכולת לעקוף את שינוי שמות הקבצים. לאחר השלמת תהליך ההצפנה, תוכנת הכופר מפקידה פתק כופר שכותרתו 'צור קשר.txt'.

ה-Hunters International נחשב למותג מחדש של קבוצת תוכנות הכופר הקודמת

בתחילה היו השערות שייתכן כי Hunters International הופיעו כתוצאה ממאמצי מיתוג מחדש של קבוצת תוכנת הכופר של Hive. הנחה זו התבססה על התאמה משמעותית של 60% בקודים של שתי התוכניות. יש לציין שה-FBI והיורופול סיכלו בהצלחה את פעולותיה של Hive בינואר 2023.

בניגוד להשערת המיתוג מחדש, הצהרה שפרסמה הקבוצה הקשורה ל- Hunters International Ransomware הפריכה טענות כאלה. לטענת שחקן האיום, הם רכשו את קוד המקור והתשתית של Hive מקבוצת Hive שנפטרה כעת, טענה שנתמכה גם בראיות נוספות.

המיקוד המבצעי של ארגון Hunters International מבדיל אותו מתוכנות כופר קונבנציונליות, כפי שמעידים הן מהצהרות מהקבוצה והן מהתקפות מתועדות. במקום להדגיש את הצפנת הקבצים, נראה כי פושעי הסייבר הללו נוטים בכבדות לעבר חילוץ נתונים. באופן מסקרן, דווחו מקרים שבהם זיהומים על ידי ה- Hunters International לא כללו שום צורה של הצפנה.

אימוץ טקטיקות סחיטה כפולה היא מגמה בולטת, במיוחד בקרב קבוצות כמו Hunters International שמכוונות לגופים גדולים כמו חברות וארגונים, בניגוד למשתמשים בודדים. בניגוד לכמה גורמי איומים שמפגינים סלקטיביות במטרותיהם, נראה כי Hunters International מאמצת גישה אופורטוניסטית יותר בזיהומים שלה.

ההיקף הגיאוגרפי של הפעילות של Hunters International הוא רחב, עם התקפות מתועדות שצוינו בצפון ומרכז אמריקה, אירופה, אסיה ואפריקה. ההפצה הנרחבת הזו מעידה על חוסר סלקטיביות קפדנית בהתמקדות באזורים ספציפיים, מה שמדגיש עוד יותר את האופי האופורטוניסטי של ההתקפות שבוצעו על ידי שחקן האיום הזה.

תוכנת הכופר הבינלאומית של Hunters מבוססת על איום הכוורת

ה-Hunters International מקודד בשפת התכנות Rust, בהתאמה למגמות הקידוד האחרונות של תוכנות זדוניות. יש לציין כי תוכנת הכופר המקורית של Hive השתמשה בשפת התכנות C וב- Golang לפעולותיה.

בהשוואת הקוד של הגרסה הידועה של האנטרס אינטרנשיונל עם איטרציות קודמות של Hive, מתברר שהקוד פשט בצורה ניכרת. הקבוצה האחראית על תוכנת הכופר הכירה בשינוי הזה, והביעה חוסר שביעות רצון מהשגיאות הקיימות בקוד המקורי. חלק מהשגיאות הללו היו חמורות מספיק כדי לעכב פענוח מוצלח, מה שגרם לצורך בשכלול.

למרות שפורסמו הצהרות המאשרות תיקון שגיאות וביטול מכשולים לשחזור קבצים, אנליסטים של תוכנות זדוניות זיהו פגמים מתמשכים ב-Hunters International. זה הוביל לאמונה הרווחת שתוכנת הכופר עדיין עוברת פיתוח ושכלול.

מאפיין בולט אחד של Hunters International הוא יכולת ההסתגלות שלו, המאפשרת התאמה אישית בכמה היבטים. משתמשים יכולים לכלול הרחבות ספציפיות שיתווספו לקבצים נעולים, למחוק את עותקי ה-Shadow Volume ולבטל דרכים אחרות לשחזור נתונים. בנוסף, תוכנת הכופר מאפשרת למשתמשים לציין גודל קובץ מינימלי הנדרש להצפנה. חשוב להדגיש כי Hunters International נועד לשנות את כל הקבצים, למעט פורמטים וספריות קבצים שנקבעו מראש בלבד. רמת התאמה אישית זו מעידה על מידה של תחכום בעיצוב ובפונקציונליות של תוכנת הכופר.