Międzynarodowe oprogramowanie ransomware Hunters

The Hunters International to nikczemny program powiązany z niedawno zidentyfikowaną organizacją zajmującą się oprogramowaniem ransomware, działającą w ramach „Hunters International”. Tradycyjnie oprogramowanie ransomware ma na celu szyfrowanie danych ofiary i żądanie okupu w zamian za odszyfrowanie. Jednak cechą wyróżniającą Hunters International jest deklarowane skupienie się na wydobywaniu danych z dużych podmiotów, a nie wyłącznie na szyfrowaniu plików. Twierdzenie to potwierdzają udokumentowane ataki przypisywane temu oprogramowaniu ransomware.

Po bliższym zbadaniu zagrożenia ze strony Hunters International zaobserwowano, że ransomware dołącza zaszyfrowane pliki z rozszerzeniem „.locked”. Na przykład plik pierwotnie nazwany „1.jpg” zostanie przekształcony na „1.jpg.locked”, a plik „2.png” na „2.png.locked” i tak dalej. Warto zauważyć, że to konkretne oprogramowanie ransomware ma możliwość ominięcia zmiany nazw plików. Po zakończeniu procesu szyfrowania ransomware przesyła notatkę z żądaniem okupu zatytułowaną „Skontaktuj się z nami.txt”.

Uważano, że Hunters International to rebranding poprzedniej grupy ransomware

Początkowo spekulowano, że Hunters International mogło powstać w wyniku wysiłków rebrandingowych grupy Hive ransomware. Założenie to opierało się na znaczącym 60% dopasowaniu kodów obu programów. Warto zauważyć, że FBI i Europol skutecznie udaremniły operacje Hive w styczniu 2023 r.

Wbrew hipotezie o rebrandingu, oświadczenie wydane przez grupę powiązaną z Hunters International Ransomware zaprzeczyło takim twierdzeniom. Według podmiotu zagrażającego nabył on kod źródłowy i infrastrukturę Hive od nieistniejącej już grupy Hive, co zostało również poparte dodatkowymi dowodami.

Koncentracja operacyjna Hunters International odróżnia go od konwencjonalnego oprogramowania ransomware, o czym świadczą zarówno oświadczenia grupy, jak i udokumentowane ataki. Zamiast kłaść nacisk na szyfrowanie plików, cyberprzestępcy wydają się silniej skłaniać się ku eksfiltracji danych. Co ciekawe, odnotowano przypadki, w których infekcje dokonane przez Hunters International nie wiązały się z żadną formą szyfrowania.

Godnym uwagi trendem jest przyjęcie taktyki podwójnego wymuszenia, zwłaszcza wśród grup takich jak Hunters International, których celem są duże podmioty, takie jak firmy i organizacje, a nie indywidualni użytkownicy. W przeciwieństwie do niektórych podmiotów zagrażających, które wykazują selektywność w swoich celach, Hunters International wydaje się przyjmować bardziej oportunistyczne podejście do swoich infekcji.

Zasięg geograficzny działalności Hunters International jest szeroki, a udokumentowane ataki odnotowano w Ameryce Północnej i Środkowej, Europie, Azji i Afryce. To szerokie rozpowszechnienie sugeruje brak ścisłej selektywności w atakowaniu określonych regionów, co jeszcze bardziej podkreśla oportunistyczny charakter ataków przeprowadzanych przez tego ugrupowania zagrażającego.

Oprogramowanie ransomware Hunters International opiera się na zagrożeniu Hive

The Hunters International jest kodowany w języku programowania Rust, co odpowiada najnowszym trendom w kodowaniu złośliwego oprogramowania. Warto zauważyć, że oryginalne Hive Ransomware wykorzystywało do swoich operacji język programowania C i Golang.

Porównując kod znanego wariantu Hunters International z poprzednimi iteracjami Hive, widać, że kod został zauważalnie uproszczony. Grupa odpowiedzialna za ransomware przyjęła do wiadomości tę modyfikację, wyrażając niezadowolenie z błędów występujących w oryginalnym kodzie. Niektóre z tych błędów były na tyle poważne, że utrudniały pomyślne odszyfrowanie, co wymagało udoskonalenia.

Chociaż opublikowano oświadczenia potwierdzające naprawienie błędów i wyeliminowanie przeszkód w odzyskiwaniu plików, analitycy złośliwego oprogramowania zidentyfikowali utrzymujące się wady w Hunters International. Doprowadziło to do powszechnego przekonania, że oprogramowanie ransomware wciąż podlega rozwojowi i udoskonalaniu.

Godną uwagi cechą Hunters International jest jego zdolność adaptacji, pozwalająca na personalizację w kilku aspektach. Użytkownicy mogą dodawać określone rozszerzenia do zablokowanych plików, usuwać kopie woluminów w tle i eliminować inne możliwości odzyskiwania danych. Dodatkowo ransomware umożliwia użytkownikom określenie minimalnego rozmiaru pliku wymaganego do szyfrowania. Należy podkreślić, że Hunters International jest przeznaczony do modyfikowania wszystkich plików, z wyłączeniem tylko wcześniej określonych formatów plików i katalogów. Ten poziom dostosowania sugeruje stopień wyrafinowania projektu i funkcjonalności oprogramowania ransomware.