헌터스 인터내셔널 랜섬웨어

Hunters International은 'Hunters International' 산하에서 활동하는 최근 확인된 랜섬웨어 조직과 관련된 사악한 프로그램입니다. 전통적으로 랜섬웨어는 피해자의 데이터를 암호화하고 이를 해독하는 대가로 몸값을 요구하도록 설계되었습니다. 그러나 Hunters International의 독특한 측면은 파일을 암호화하는 것보다 대규모 단체로부터의 데이터 유출에 중점을 두고 있다는 점입니다. 이 주장은 이 랜섬웨어 공격으로 인한 문서화된 공격에 의해 뒷받침됩니다.

Hunters International 위협을 자세히 조사한 결과, 랜섬웨어가 암호화된 파일에 '.locked' 확장자를 추가하는 것으로 나타났습니다. 예를 들어 원래 이름이 '1.jpg'인 파일은 '1.jpg.locked'로 변환되고 '2.png'는 '2.png.locked'로 변환됩니다. 이 특정 랜섬웨어에는 파일 이름 변경을 우회하는 기능이 있다는 점은 주목할 만합니다. 암호화 과정이 완료된 후 랜섬웨어는 'Contact Us.txt'라는 제목의 몸값 메모를 보관합니다.

Hunters International은 이전 랜섬웨어 그룹의 브랜드 변경으로 간주되었습니다.

처음에는 Hive 랜섬웨어 그룹의 브랜드 변경 노력의 결과로 Hunters International이 등장했을 수도 있다는 추측이 있었습니다. 이 가정은 두 프로그램의 코드가 60% 일치한다는 점을 기반으로 합니다. 특히 FBI와 유로폴은 2023년 1월 Hive의 작전을 성공적으로 좌절시켰습니다.

브랜드 변경 가설과 달리 Hunters International 랜섬웨어와 관련된 그룹이 발표한 성명은 그러한 주장을 반박했습니다. 위협 행위자에 따르면 그들은 현재는 존재하지 않는 Hive 그룹으로부터 Hive의 소스 코드와 인프라를 획득했으며, 이는 추가 증거로도 뒷받침됩니다.

Hunters International의 운영 초점은 그룹의 진술과 문서화된 공격 모두에서 알 수 있듯이 기존 랜섬웨어와 구별됩니다. 이러한 사이버 범죄자들은 파일 암호화를 강조하기보다는 데이터 유출에 중점을 두는 것으로 보입니다. 흥미롭게도 Hunters International의 감염이 어떠한 형태의 암호화도 수반되지 않은 사례가 보고되었습니다.

이중 갈취 전술을 채택하는 것은 특히 개인 사용자가 아닌 회사 및 조직과 같은 대규모 단체를 표적으로 삼는 Hunters International과 같은 그룹에서 주목할만한 추세입니다. 목표물에 대해 선택성을 보이는 일부 위협 행위자와 달리 Hunters International은 감염에 있어 보다 기회주의적인 접근 방식을 채택한 것으로 보입니다.

Hunters International의 활동 범위는 광범위하며 북미 및 중앙 아메리카, 유럽, 아시아 및 아프리카에서 공격이 기록되어 있습니다. 이러한 광범위한 분포는 특정 지역을 표적으로 삼는 데 엄격한 선택성이 부족함을 시사하며, 이 위협 행위자가 수행하는 공격의 기회주의적 성격을 더욱 강조합니다.

Hunters International 랜섬웨어는 Hive 위협을 기반으로 합니다.

Hunters International은 최근 악성 코드 코딩 추세에 맞춰 Rust 프로그래밍 언어로 코딩되었습니다. 특히, 원본 Hive 랜섬웨어는 C 프로그래밍 언어와 Golang을 사용하여 작동했습니다.

Hunters International의 알려진 변종 코드를 이전 Hive 버전과 비교하면 코드가 눈에 띄게 단순화되었음을 알 수 있습니다. 랜섬웨어를 담당하는 그룹은 이러한 수정을 인정하고 원본 코드에 존재하는 오류에 대해 불만을 표명했습니다. 이러한 오류 중 일부는 성공적인 암호 해독을 방해할 만큼 심각하여 개선이 필요했습니다.

오류 수정과 파일 복구의 장애물 제거를 확인하는 성명이 발표되었지만 맬웨어 분석가들은 Hunters International에 남아 있는 결함을 확인했습니다. 이로 인해 랜섬웨어가 여전히 개발 및 개선되고 있다는 믿음이 널리 퍼져 있습니다.

Hunters International의 주목할만한 특징 중 하나는 적응성이며 여러 측면에서 사용자 정의가 가능합니다. 사용자는 잠긴 파일에 추가할 특정 확장자를 포함하고, 쉐도우 볼륨 복사본을 삭제하고, 기타 데이터 복구 방법을 제거할 수 있습니다. 또한 랜섬웨어를 통해 사용자는 암호화에 필요한 최소 파일 크기를 지정할 수 있습니다. Hunters International은 미리 결정된 파일 형식과 디렉터리만 제외하고 모든 파일을 수정하도록 설계되었다는 점을 강조하는 것이 중요합니다. 이러한 수준의 사용자 정의는 랜섬웨어의 설계와 기능이 어느 정도 정교해졌음을 나타냅니다.