Программа-вымогатель Hunters International

The Hunters International — это гнусная программа, связанная с недавно выявленной организацией, занимающейся вымогательством, действующей под названием Hunters International. Традиционно программы-вымогатели предназначены для шифрования данных жертвы, требуя выкуп в обмен на расшифровку. Однако отличительная черта Hunters International заключается в заявленной ею ориентации на кражу данных у крупных организаций, а не только на шифровании файлов. Это утверждение подтверждается документально подтвержденными атаками, приписываемыми этой программе-вымогателю.

При более внимательном изучении угрозы Hunters International было замечено, что программа-вымогатель добавляет зашифрованные файлы с расширением «.locked». Например, файл с первоначальным именем «1.jpg» будет преобразован в «1.jpg.locked», а «2.png» в «2.png.locked» и т. д. Примечательно, что именно этот вирус-вымогатель обладает возможностью обходить изменение имен файлов. После завершения процесса шифрования программа-вымогатель оставляет записку с требованием выкупа под названием «Свяжитесь с нами.txt».

The Hunters International считалась ребрендингом предыдущей группы по борьбе с программами-вымогателями

Первоначально существовало предположение, что Hunters International могла возникнуть в результате ребрендинга группы вымогателей Hive. Это предположение было основано на значительном 60% совпадении кодов обеих программ. Примечательно, что ФБР и Европол успешно сорвали операции Hive в январе 2023 года.

Вопреки гипотезе о ребрендинге, заявление, опубликованное группой, связанной с Hunters International Ransomware, опровергло подобные утверждения. По словам злоумышленника, они приобрели исходный код и инфраструктуру Hive у ныне несуществующей группы Hive, и это утверждение также подтверждается дополнительными доказательствами.

Операционная направленность Hunters International отличает ее от обычных программ-вымогателей, о чем свидетельствуют как заявления группы, так и задокументированные атаки. Вместо того чтобы делать упор на шифрование файлов, эти киберпреступники, похоже, в значительной степени склоняются к краже данных. Любопытно, что сообщалось о случаях, когда заражения со стороны Hunters International не включали какую-либо форму шифрования.

Принятие тактики двойного вымогательства является заметной тенденцией, особенно среди таких групп, как Hunters International, которые нацелены на крупные организации, такие как компании и организации, а не на отдельных пользователей. В отличие от некоторых субъектов угроз, которые проявляют избирательность в отношении своих целей, Hunters International, похоже, придерживается более оппортунистического подхода к заражению.

География деятельности Hunters International широка: задокументированные нападения отмечены в Северной и Центральной Америке, Европе, Азии и Африке. Такое широкое распространение предполагает отсутствие строгой избирательности в отношении конкретных регионов, что еще больше подчеркивает оппортунистический характер атак, осуществляемых этим злоумышленником.

Программа-вымогатель Hunters International основана на угрозе Hive

Hunters International написан на языке программирования Rust, что соответствует последним тенденциям в кодировании вредоносных программ. Примечательно, что оригинальная программа-вымогатель Hive использовала для своих операций язык программирования C и Golang.

Сравнивая код известного варианта Hunters International с предыдущими итерациями Hive, становится очевидным, что код заметно упростился. Группа, ответственная за программу-вымогатель, признала эту модификацию, выразив недовольство ошибками, присутствующими в исходном коде. Некоторые из этих ошибок были достаточно серьезными, чтобы препятствовать успешной расшифровке, что вызвало необходимость доработки.

Хотя были опубликованы заявления, подтверждающие исправление ошибок и устранение препятствий для восстановления файлов, аналитики вредоносного ПО выявили сохраняющиеся недостатки в Hunters International. Это привело к преобладающему мнению, что программа-вымогатель все еще находится в стадии разработки и усовершенствования.

Одной из примечательных особенностей Hunters International является его адаптивность, позволяющая настраивать несколько аспектов. Пользователи могут добавлять определенные расширения к заблокированным файлам, удалять теневые копии томов и исключать другие способы восстановления данных. Кроме того, программа-вымогатель позволяет пользователям указывать минимальный размер файла, необходимый для шифрования. Крайне важно подчеркнуть, что Hunters International предназначена для изменения всех файлов, исключая только заранее определенные форматы файлов и каталоги. Такой уровень настройки предполагает определенную степень сложности дизайна и функциональности программы-вымогателя.