Ransomware internazionale di Hunters

The Hunters International è un programma nefasto associato a un'organizzazione ransomware identificata di recente che opera sotto il nome di "Hunters International". Tradizionalmente, il ransomware è progettato per crittografare i dati della vittima, chiedendo un riscatto in cambio della decrittazione. Tuttavia, l’aspetto distintivo di Hunters International risiede nella sua attenzione dichiarata all’esfiltrazione di dati da grandi entità piuttosto che alla sola crittografia dei file. Questa affermazione è supportata da attacchi documentati attribuiti a questo gruppo di ransomware.

Dopo un esame più attento della minaccia Hunters International, è stato osservato che il ransomware aggiunge ai file crittografati l'estensione ".locked". Ad esempio, un file originariamente denominato "1.jpg" verrebbe trasformato in "1.jpg.locked" e "2.png" in "2.png.locked" e così via. È interessante notare che questo particolare ransomware possiede la capacità di aggirare l'alterazione dei nomi dei file. Dopo il completamento del processo di crittografia, il ransomware deposita una richiesta di riscatto intitolata "Contattaci.txt".

Si pensava che Hunters International fosse un rebranding del precedente gruppo ransomware

Inizialmente si ipotizzava che Hunters International potesse essere emerso come risultato degli sforzi di rebranding del gruppo ransomware Hive. Questa ipotesi si basava su una corrispondenza significativa del 60% nei codici di entrambi i programmi. In particolare, l’FBI e l’Europol avevano contrastato con successo le operazioni di Hive nel gennaio 2023.

Contrariamente all'ipotesi del rebranding, un comunicato rilasciato dal gruppo associato a Hunters International Ransomware ha smentito tali affermazioni. Secondo l'autore della minaccia, avrebbero acquisito il codice sorgente e l'infrastruttura di Hive dall'ormai defunto gruppo Hive, un'affermazione che è stata supportata anche da ulteriori prove.

Il focus operativo di Hunters International lo distingue dai ransomware convenzionali, come dimostrano sia le dichiarazioni del gruppo che gli attacchi documentati. Invece di enfatizzare la crittografia dei file, questi criminali informatici sembrano propendere fortemente per l’esfiltrazione dei dati. Curiosamente, sono stati segnalati casi in cui le infezioni da parte di Hunters International non hanno comportato alcuna forma di crittografia.

L’adozione di tattiche di doppia estorsione è una tendenza notevole, soprattutto tra gruppi come Hunters International che prendono di mira grandi entità come aziende e organizzazioni, anziché i singoli utenti. A differenza di alcuni autori di minacce che mostrano selettività nei loro obiettivi, Hunters International sembra adottare un approccio più opportunistico nelle sue infezioni.

L'ambito geografico delle attività di Hunters International è ampio, con attacchi documentati rilevati in Nord e Centro America, Europa, Asia e Africa. Questa distribuzione diffusa suggerisce una mancanza di rigorosa selettività nel prendere di mira regioni specifiche, sottolineando ulteriormente la natura opportunistica degli attacchi sferrati da questo attore della minaccia.

Il ransomware Hunters International si basa sulla minaccia Hive

The Hunters International è codificato nel linguaggio di programmazione Rust, in linea con le recenti tendenze di codifica del malware. In particolare, l’originale Hive Ransomware utilizzava il linguaggio di programmazione C e Golang per le sue operazioni.

Confrontando il codice della variante nota di Hunters International con le precedenti iterazioni di Hive, risulta evidente che il codice si è notevolmente semplificato. Il gruppo responsabile del ransomware ha riconosciuto questa modifica, esprimendo insoddisfazione per gli errori presenti nel codice originale. Alcuni di questi errori erano abbastanza gravi da impedire il successo della decrittazione, suggerendo la necessità di perfezionarli.

Sebbene siano state rilasciate dichiarazioni che affermano la correzione degli errori e l'eliminazione degli ostacoli al recupero dei file, gli analisti di malware hanno identificato difetti persistenti in Hunters International. Ciò ha portato alla convinzione prevalente che il ransomware sia ancora in fase di sviluppo e perfezionamento.

Una caratteristica notevole di Hunters International è la sua adattabilità, che consente la personalizzazione in diversi aspetti. Gli utenti possono includere estensioni specifiche da aggiungere ai file bloccati, eliminare le copie shadow del volume ed eliminare altre modalità di recupero dei dati. Inoltre, il ransomware consente agli utenti di specificare una dimensione minima del file richiesta per la crittografia. È fondamentale evidenziare che Hunters International è progettato per modificare tutti i file, escludendo solo formati di file e directory predeterminati. Questo livello di personalizzazione suggerisce un grado di sofisticazione nel design e nella funzionalità del ransomware.