Hunters International Ransomware

O Hunters International é um programa nefasto associado a uma organização de ransomware recentemente identificada que opera sob o nome de 'Hunters International'. Tradicionalmente, o ransomware é projetado para criptografar os dados da vítima, exigindo um resgate em troca da descriptografia. No entanto, o aspecto distintivo da Hunters International reside no seu foco declarado na exfiltração de dados de grandes entidades, em vez de apenas na criptografia de arquivos. Esta afirmação é apoiada por ataques documentados atribuídos a este ransomware.

Após um exame mais detalhado da ameaça Hunters International, observou-se que o ransomware anexa ficheiros encriptados com uma extensão '.locked'. Por exemplo, um arquivo originalmente denominado '1.jpg' seria transformado em '1.jpg.locked' e '2.png' em '2.png.locked' e assim por diante. Vale ressaltar que este ransomware específico possui a capacidade de ignorar a alteração dos nomes dos arquivos. Após a conclusão do processo de criptografia, o ransomware deposita uma nota de resgate intitulada ‘Fale conosco.txt’.

O Hunters International foi Considerada uma Reformulação de um Grupo Anterior de Ransomware

Inicialmente, especulou-se que a Hunters International poderia ter surgido como resultado dos esforços de reformulação da marca do grupo de ransomware Hive. Esta suposição foi baseada em uma correspondência significativa de 60% nos códigos de ambos os programas. Notavelmente, o FBI e a Europol frustraram com sucesso as operações da Hive em Janeiro de 2023.

Ao contrário da hipótese de mudança de marca, um comunicado divulgado pelo grupo associado ao Hunters International Ransomware refutou tais afirmações. De acordo com o autor da ameaça, eles adquiriram o código-fonte e a infraestrutura do Hive do agora extinto grupo Hive, uma afirmação que também foi apoiada por evidências adicionais.

O foco operacional da Hunters International o distingue do ransomware convencional, como evidenciado pelas declarações do grupo e pelos ataques documentados. Em vez de enfatizar a criptografia de arquivos, esses cibercriminosos parecem inclinar-se fortemente para a exfiltração de dados. Curiosamente, foram relatados casos em que as infecções pela Hunters International não envolveram qualquer forma de criptografia.

A adoção de táticas de dupla extorsão é uma tendência notável, especialmente entre grupos como o Hunters International, que tem como alvo grandes entidades, como empresas e organizações, em oposição a utilizadores individuais. Ao contrário de alguns atores de ameaças que exibem seletividade nos seus alvos, a Hunters International parece adotar uma abordagem mais oportunista nas suas infecções.

O âmbito geográfico das atividades da Hunters International é amplo, com ataques documentados observados na América do Norte e Central, na Europa, na Ásia e na África. Esta distribuição generalizada sugere uma falta de seletividade estrita na segmentação de regiões específicas, enfatizando ainda mais a natureza oportunista dos ataques realizados por este ator ameaçador.

O Hunters International Ransomware é Baseado na Ameaça Hive

O Hunters International é codificado na linguagem de programação Rust, alinhando-se com as tendências recentes de codificação de malware. Notavelmente, o Hive Ransomware original utilizou a linguagem de programação C e Golang para suas operações.

Comparando o código da variante conhecida do Hunters International com as iterações anteriores do Hive, torna-se aparente que o código foi visivelmente simplificado. O grupo responsável pelo ransomware reconheceu esta modificação, manifestando insatisfação com os erros presentes no código original. Alguns desses erros foram graves o suficiente para impedir a descriptografia bem-sucedida, o que levou à necessidade de refinamento.

Embora tenham sido divulgadas declarações afirmando a retificação de erros e a eliminação de obstáculos à recuperação de arquivos, analistas de malware identificaram falhas persistentes no Hunters International. Isto levou à crença predominante de que o ransomware ainda está em desenvolvimento e refinamento.

Uma característica notável do Hunters International é a sua adaptabilidade, permitindo a customização em diversos aspectos. Os usuários podem incluir extensões específicas para serem adicionadas a arquivos bloqueados, excluir cópias de sombra de volume e eliminar outras formas de recuperação de dados. Além disso, o ransomware permite que os usuários especifiquem um tamanho mínimo de arquivo necessário para criptografia. É fundamental destacar que Hunters International foi projetado para modificar todos os arquivos, excluindo apenas formatos de arquivo e diretórios pré-determinados. Este nível de personalização sugere um grau de sofisticação no design e na funcionalidade do ransomware.