Hunters International Ransomware

Hunters International este un program nefast asociat cu o organizație de ransomware recent identificată care operează sub „Hunters International”. În mod tradițional, ransomware-ul este conceput pentru a cripta datele unei victime, solicitând o răscumpărare în schimbul decriptării. Cu toate acestea, aspectul distinctiv al Hunters International constă în concentrarea sa declarată pe exfiltrarea datelor de la entități mari, mai degrabă decât doar criptarea fișierelor. Această afirmație este susținută de atacuri documentate atribuite acestei ținute ransomware.

La o examinare mai atentă a amenințării Hunters International, s-a observat că ransomware-ul atașează fișiere criptate cu extensia „.locked”. De exemplu, un fișier numit inițial „1.jpg” va fi transformat în „1.jpg.blocat”, iar „2.png” în „2.png.blocat” și așa mai departe. Este de remarcat faptul că acest ransomware particular are capacitatea de a ocoli modificarea numelor fișierelor. După finalizarea procesului de criptare, ransomware-ul depune o notă de răscumpărare intitulată „Contactați-ne.txt”.

Se credea că Hunters International este un rebrand al grupului anterior de ransomware

Inițial, au existat speculații că Hunters International ar fi putut apărea ca urmare a eforturilor de rebranding ale grupului de ransomware Hive. Această ipoteză sa bazat pe o potrivire semnificativă de 60% în codurile ambelor programe. În special, FBI și Europol au zădărnicit cu succes operațiunile lui Hive în ianuarie 2023.

Contrar ipotezei de rebranding, o declarație lansată de grupul asociat cu Hunters International Ransomware a respins astfel de afirmații. Potrivit actorului amenințării, aceștia au achiziționat codul sursă și infrastructura Hive de la grupul Hive, acum dispărut, o afirmație care a fost susținută și de dovezi suplimentare.

Accentul operațional al Hunters International îl deosebește de ransomware-ul convențional, așa cum demonstrează atât declarațiile grupului, cât și atacurile documentate. În loc să pună accentul pe criptarea fișierelor, acești criminali cibernetici par să încline mult spre exfiltrarea datelor. În mod intrigant, au fost raportate cazuri în care infecțiile de către Hunters International nu au implicat nicio formă de criptare.

Adoptarea tacticilor de dublă extorcare este o tendință notabilă, în special în rândul unor grupuri precum Hunters International care vizează entități mari, cum ar fi companii și organizații, spre deosebire de utilizatorii individuali. Spre deosebire de unii actori de amenințări care manifestă selectivitate în țintele lor, Hunters International pare să adopte o abordare mai oportunistă în ceea ce privește infecțiile sale.

Sfera geografică a activităților Hunters International este larg, cu atacuri documentate observate în America de Nord și Centrală, Europa, Asia și Africa. Această distribuție pe scară largă sugerează o lipsă de selectivitate strictă în țintirea unor regiuni specifice, subliniind și mai mult caracterul oportunist al atacurilor efectuate de acest actor de amenințare.

Ransomware-ul Hunters International se bazează pe amenințarea Hive

Hunters International este codificat în limbajul de programare Rust, aliniându-se cu tendințele recente de codare a malware. În special, Hive Ransomware original a folosit limbajul de programare C și Golang pentru operațiunile sale.

Comparând codul variantei cunoscute a Hunters International cu iterațiile anterioare ale lui Hive, devine evident că codul s-a simplificat considerabil. Grupul responsabil pentru ransomware a recunoscut această modificare, exprimându-și nemulțumirea față de erorile prezente în codul original. Unele dintre aceste erori au fost suficient de grave pentru a împiedica decriptarea reușită, ceea ce a determinat necesitatea rafinamentului.

Deși au fost lansate declarații care afirmă rectificarea erorilor și eliminarea obstacolelor în calea recuperării fișierelor, analiștii de malware au identificat defecte persistente în Hunters International. Acest lucru a dus la credința predominantă că ransomware-ul este încă în curs de dezvoltare și perfecționare.

O caracteristică notabilă a Hunters International este adaptabilitatea sa, permițând personalizarea în mai multe aspecte. Utilizatorii pot include extensii specifice pentru a fi adăugate la fișierele blocate, pot șterge Copiile Shadow Volume și pot elimina alte căi de recuperare a datelor. În plus, ransomware-ul permite utilizatorilor să specifice o dimensiune minimă a fișierului necesară pentru criptare. Este esențial să subliniem faptul că Hunters International este conceput pentru a modifica toate fișierele, excluzând doar formatele și directoarele de fișiere predeterminate. Acest nivel de personalizare sugerează un grad de sofisticare în designul și funcționalitatea ransomware-ului.