Hunters International Ransomware

Hunters International er et ondskapsfullt program knyttet til en nylig identifisert løsepengevareorganisasjon som opererer under "Hunters International". Tradisjonelt er løsepenger utviklet for å kryptere et offers data, og krever løsepenger i bytte mot dekryptering. Det særegne ved Hunters International ligger imidlertid i dets erklærte fokus på dataeksfiltrering fra store enheter i stedet for kun å kryptere filer. Denne påstanden støttes av dokumenterte angrep som tilskrives dette løsepenge-antrekket.

Ved nærmere undersøkelse av Hunters International-trusselen har det blitt observert at løsepengevaren legger til krypterte filer med en '.locked'-utvidelse. For eksempel vil en fil opprinnelig kalt '1.jpg' bli transformert til '1.jpg.locked' og '2.png' til '2.png.locked' og så videre. Det er bemerkelsesverdig at denne spesielle løsepengevaren har muligheten til å omgå endring av filnavnene. Etter at krypteringsprosessen er fullført, deponerer løsepengevaren en løsepengenota med tittelen 'Contact Us.txt'.

The Hunters International ble antatt å være en rebrand av Previous Ransomware Group

Opprinnelig var det spekulasjoner om at Hunters International kan ha dukket opp som et resultat av rebranding-innsats fra Hive-ransomware-gruppen. Denne antagelsen var basert på en signifikant 60 % samsvar i kodene til begge programmene. Spesielt hadde FBI og Europol forpurret Hives operasjoner i januar 2023.

I motsetning til rebranding-hypotesen, tilbakeviste en uttalelse utgitt av gruppen tilknyttet Hunters International Ransomware slike påstander. Ifølge trusselaktøren skaffet de Hives kildekode og infrastruktur fra den nå nedlagte Hive-gruppen, en påstand som også har blitt støttet av ytterligere bevis.

Det operative fokuset til Hunters International skiller det fra konvensjonell løsepengevare, noe som fremgår av både uttalelser fra gruppen og dokumenterte angrep. I stedet for å legge vekt på filkryptering, ser disse nettkriminelle ut til å lene seg tungt mot dataeksfiltrering. Interessant nok er det rapportert om tilfeller der infeksjoner fra Hunters International ikke innebar noen form for kryptering.

Bruken av taktikk for dobbel utpressing er en bemerkelsesverdig trend, spesielt blant grupper som Hunters International som retter seg mot store enheter som selskaper og organisasjoner, i motsetning til individuelle brukere. I motsetning til enkelte trusselaktører som viser selektivitet i målene sine, ser det ut til at Hunters International har en mer opportunistisk tilnærming når det gjelder infeksjoner.

Det geografiske omfanget av Hunters Internationals aktiviteter er bredt, med dokumenterte angrep notert i Nord- og Mellom-Amerika, Europa, Asia og Afrika. Denne utbredte distribusjonen antyder mangel på streng selektivitet i målretting mot spesifikke regioner, og understreker ytterligere den opportunistiske karakteren til angrepene utført av denne trusselaktøren.

Hunters International Ransomware er basert på Hive-trusselen

Hunters International er kodet i Rust-programmeringsspråket, i tråd med de siste trendene for malware-koding. Spesielt brukte den originale Hive Ransomware C-programmeringsspråket og Golang for sine operasjoner.

Ved å sammenligne koden til den kjente varianten av Hunters International med tidligere iterasjoner av Hive, blir det tydelig at koden har blitt merkbart forenklet. Gruppen ansvarlig for løsepengevaren erkjente denne endringen, og uttrykte misnøye med feilene i den opprinnelige koden. Noen av disse feilene var alvorlige nok til å hindre vellykket dekryptering, noe som førte til behovet for foredling.

Selv om uttalelser har blitt gitt ut som bekrefter retting av feil og eliminering av hindringer for filgjenoppretting, har malware-analytikere identifisert langvarige feil i Hunters International. Dette har ført til den rådende troen på at løsepengevaren fortsatt er under utvikling og foredling.

Et bemerkelsesverdig trekk ved Hunters International er tilpasningsevnen, noe som muliggjør tilpasning i flere aspekter. Brukere kan inkludere spesifikke utvidelser som skal legges til låste filer, slette Shadow Volume Copies og eliminere andre datagjenopprettingsveier. I tillegg lar løsepengevaren brukere spesifisere en minimum filstørrelse som kreves for kryptering. Det er avgjørende å fremheve at Hunters International er designet for å endre alle filer, unntatt kun forhåndsbestemte filformater og kataloger. Dette tilpasningsnivået antyder en grad av sofistikering i løsepengevarens design og funksjonalitet.