Hunters International Ransomware

Hunters International je opaki program povezan s nedavno identificiranom ransomware organizacijom koja djeluje pod 'Hunters International'. Tradicionalno, ransomware je dizajniran za šifriranje podataka žrtve, zahtijevajući otkupninu u zamjenu za dešifriranje. Međutim, poseban aspekt Hunters Internationala leži u njegovom deklariranom fokusu na izvlačenje podataka iz velikih entiteta, a ne samo na šifriranje datoteka. Ovu tvrdnju podupiru dokumentirani napadi koji se pripisuju ovoj skupini ransomwarea.

Nakon detaljnijeg ispitivanja prijetnje Hunters Internationala, uočeno je da ransomware dodaje šifrirane datoteke s ekstenzijom '.locked'. Na primjer, datoteka izvorno nazvana '1.jpg' transformirala bi se u '1.jpg.locked', a '2.png' u '2.png.locked' i tako dalje. Važno je napomenuti da ovaj određeni ransomware ima sposobnost zaobići promjenu naziva datoteka. Nakon završetka procesa enkripcije, ransomware polaže poruku o otkupnini pod nazivom "Kontaktirajte nas.txt".

Smatralo se da je Hunters International rebrend prethodne Ransomware grupe

U početku se nagađalo da se Hunters International mogao pojaviti kao rezultat pokušaja rebrandinga grupe Hive ransomware. Ova se pretpostavka temeljila na značajnom podudaranju od 60% u kodovima oba programa. Naime, FBI i Europol uspješno su osujetili Hiveove operacije u siječnju 2023.

Suprotno hipotezi o rebrandingu, izjava koju je objavila grupa povezana s Hunters International Ransomware opovrgla je takve tvrdnje. Prema akteru prijetnje, nabavili su Hiveov izvorni kod i infrastrukturu od sada nepostojeće grupe Hive, što je tvrdnja koja je također potkrijepljena dodatnim dokazima.

Operativni fokus Hunters Internationala razlikuje ga od konvencionalnog ransomwarea, o čemu svjedoče i izjave grupe i dokumentirani napadi. Umjesto da naglašavaju enkripciju datoteka, čini se da ovi kibernetički kriminalci snažno naginju eksfiltraciji podataka. Intrigantno je da su zabilježeni slučajevi u kojima infekcije od strane Hunters Internationala nisu uključivale nikakav oblik šifriranja.

Usvajanje taktike dvostrukog iznuđivanja značajan je trend, posebno među skupinama poput Hunters Internationala koje ciljaju na velike subjekte poput tvrtki i organizacija, za razliku od pojedinačnih korisnika. Za razliku od nekih aktera prijetnji koji pokazuju selektivnost u svojim metama, čini se da Hunters International usvaja oportunističkiji pristup svojim infekcijama.

Zemljopisni opseg djelovanja Hunters Internationala je širok, s dokumentiranim napadima zabilježenim u Sjevernoj i Srednjoj Americi, Europi, Aziji i Africi. Ova rasprostranjena distribucija sugerira nedostatak stroge selektivnosti u ciljanju određenih regija, dodatno naglašavajući oportunističku prirodu napada koje izvodi ovaj akter prijetnje.

Hunters International Ransomware temelji se na prijetnji košnice

Hunters International kodiran je u programskom jeziku Rust, u skladu s nedavnim trendovima kodiranja zlonamjernog softvera. Naime, izvorni Hive Ransomware koristio je C programski jezik i Golang za svoje operacije.

Uspoređujući kod poznate varijante Hunters Internationala s prethodnim iteracijama Hivea, postaje očito da se kod znatno pojednostavio. Grupa odgovorna za ransomware priznala je ovu izmjenu, izražavajući nezadovoljstvo greškama prisutnim u originalnom kodu. Neke od tih pogrešaka bile su dovoljno ozbiljne da ometaju uspješno dešifriranje, što je dovelo do potrebe za doradom.

Iako su objavljene izjave koje potvrđuju ispravljanje pogrešaka i uklanjanje prepreka oporavku datoteka, analitičari zlonamjernog softvera identificirali su dugotrajne nedostatke u Hunters Internationalu. To je dovelo do prevladavajućeg uvjerenja da je ransomware još uvijek u fazi razvoja i usavršavanja.

Jedna značajna značajka Hunters Internationala je njegova prilagodljivost, koja omogućuje prilagodbu u nekoliko aspekata. Korisnici mogu uključiti određene ekstenzije koje će se dodati zaključanim datotekama, izbrisati kopije svezaka u sjeni i eliminirati druge načine oporavka podataka. Dodatno, ransomware omogućuje korisnicima da navedu minimalnu veličinu datoteke potrebnu za enkripciju. Ključno je naglasiti da je Hunters International dizajniran za izmjenu svih datoteka, isključujući samo unaprijed određene formate datoteka i direktorije. Ova razina prilagodbe sugerira stupanj sofisticiranosti u dizajnu i funkcionalnosti ransomwarea.