Hunters International Ransomware

„Hunters International“ yra niekšiška programa, susijusi su neseniai nustatyta „ransomware“ organizacija, veikiančia pagal „Hunters International“. Tradiciškai išpirkos reikalaujančios programos yra skirtos aukos duomenims užšifruoti, o mainais už iššifravimą reikalaujama išpirkos. Tačiau išskirtinis „Hunters International“ aspektas slypi tame, kad dėmesys sutelkiamas į duomenų išfiltravimą iš didelių subjektų, o ne vien tik failų šifravimą. Šį teiginį patvirtina dokumentais pagrįstos atakos, priskiriamos šiai išpirkos programinei įrangai.

Atidžiau išnagrinėjus „Hunters International“ grėsmę, buvo pastebėta, kad išpirkos programa prideda užšifruotus failus su plėtiniu „.locked“. Pavyzdžiui, failas iš pradžių pavadintas „1.jpg“ būtų paverstas „1.jpg.locked“, o „2.png“ į „2.png.locked“ ir pan. Pažymėtina, kad ši konkreti išpirkos reikalaujanti programa turi galimybę apeiti failų pavadinimų keitimą. Užbaigus šifravimo procesą, išpirkos reikalaujanti programa įneša išpirkos raštelį pavadinimu „Susisiekite su mumis.txt“.

Buvo manoma, kad „Hunters International“ yra ankstesnės „Ransomware“ grupės prekės ženklas

Iš pradžių buvo spėliojama, kad Hunters International galėjo atsirasti dėl Hive ransomware grupės pastangų pakeisti prekės ženklą. Ši prielaida buvo pagrįsta reikšmingu 60% abiejų programų kodų atitikimu. Pažymėtina, kad FTB ir Europolas 2023 m. sausio mėn. sėkmingai sužlugdė Hive operacijas.

Priešingai prekės ženklo keitimo hipotezei, su Hunters International Ransomware susijusios grupės paskelbtas pareiškimas paneigė tokius teiginius. Pasak grėsmės veikėjo, jie įsigijo „Hive“ šaltinio kodą ir infrastruktūrą iš dabar nebeegzistuojančios „Hive“ grupės, o teiginį taip pat patvirtino papildomi įrodymai.

„Hunters International“ operatyvinis dėmesys išskiria jį nuo įprastų išpirkos reikalaujančių programų, kaip rodo ir grupės pareiškimai, ir dokumentuotos atakos. Atrodo, kad šie kibernetiniai nusikaltėliai, užuot pabrėžę failų šifravimą, labai linkę į duomenų išfiltravimą. Įdomu tai, kad buvo pranešta apie atvejus, kai Hunters International užsikrėtė jokia šifravimo forma.

Dvigubo turto prievartavimo taktikos taikymas yra pastebima tendencija, ypač tarp grupių, tokių kaip Hunters International, kurios taikosi į didelius subjektus, pavyzdžiui, įmones ir organizacijas, o ne į atskirus vartotojus. Skirtingai nei kai kurie grėsmės veikėjai, kurie savo taikiniuose pasižymi selektyvumu, „Hunters International“ savo infekcijoms gydyti taiko oportunistinį požiūrį.

„Hunters International“ veiklos geografinė sritis yra plati, dokumentais užfiksuoti išpuoliai Šiaurės ir Centrinėje Amerikoje, Europoje, Azijoje ir Afrikoje. Šis plačiai paplitęs pasiskirstymas rodo, kad nėra griežto selektyvumo nukreipiant į konkrečius regionus, o tai dar labiau pabrėžia šio grėsmės veikėjo vykdomų išpuolių oportunistinį pobūdį.

Hunters International Ransomware yra pagrįsta avilio grėsme

„Hunters International“ yra užkoduotas „Rust“ programavimo kalba, atitinkantis naujausias kenkėjiškų programų kodavimo tendencijas. Pažymėtina, kad originalus „Hive Ransomware“ savo operacijoms naudojo C programavimo kalbą ir „Golang“.

Palyginus žinomo Hunters International varianto kodą su ankstesnėmis Hive iteracijomis, paaiškėja, kad kodas pastebimai supaprastėjo. Už išpirkos reikalaujančią programinę įrangą atsakinga grupė pripažino šią modifikaciją, išreikšdama nepasitenkinimą pradiniame kode esančiomis klaidomis. Kai kurios iš šių klaidų buvo pakankamai rimtos, kad trukdytų sėkmingai iššifruoti, todėl reikėjo tobulinti.

Nors buvo paskelbti pareiškimai, patvirtinantys klaidų ištaisymą ir kliūčių failų atkūrimui pašalinimą, kenkėjiškų programų analitikai nustatė išliekančius Hunters International trūkumus. Tai paskatino vyraujantį įsitikinimą, kad išpirkos reikalaujanti programinė įranga vis dar kuriama ir tobulinama.

Vienas iš svarbių „Hunters International“ bruožų yra jo pritaikomumas, leidžiantis pritaikyti keletą aspektų. Vartotojai gali įtraukti konkrečius plėtinius, kurie bus pridėti prie užrakintų failų, ištrinti šešėlines tomo kopijas ir pašalinti kitus duomenų atkūrimo būdus. Be to, išpirkos reikalaujanti programinė įranga leidžia vartotojams nurodyti minimalų failo dydį, reikalingą šifravimui. Labai svarbu pabrėžti, kad Hunters International sukurtas taip, kad modifikuotų visus failus, išskyrus tik iš anksto nustatytus failų formatus ir katalogus. Šis tinkinimo lygis rodo, kad išpirkos reikalaujančios programos dizainas ir funkcionalumas yra sudėtingas.