Hunters International Ransomware

The Hunters International je hanebný program spojený s nedávno identifikovanou ransomvérovou organizáciou pôsobiacou pod 'Hunters International'. Tradične je ransomvér navrhnutý tak, aby zašifroval údaje obete, pričom výmenou za dešifrovanie požaduje výkupné. Charakteristickým aspektom spoločnosti Hunters International však je jej deklarované zameranie na exfiltráciu údajov z veľkých subjektov, a nie iba na šifrovanie súborov. Toto tvrdenie podporujú zdokumentované útoky pripisované tomuto ransomvérovému outfitu.

Pri bližšom skúmaní hrozby Hunters International sa zistilo, že ransomvér pripája zašifrované súbory s príponou „.locked“. Napríklad súbor pôvodne s názvom „1.jpg“ by sa zmenil na „1.jpg.locked“ a „2.png“ na „2.png.locked“ atď. Je pozoruhodné, že tento konkrétny ransomware má schopnosť obísť zmenu názvov súborov. Po dokončení procesu šifrovania ransomvér uloží výkupné s názvom „Kontaktujte nás.txt“.

Spoločnosť Hunters International bola považovaná za rebrand predchádzajúcej skupiny Ransomware

Spočiatku sa špekulovalo, že Hunters International sa mohla objaviť v dôsledku rebrandingových snáh skupiny Hive ransomware. Tento predpoklad bol založený na významnej 60% zhode v kódoch oboch programov. Najmä FBI a Europol úspešne zmarili operácie Hive v januári 2023.

Na rozdiel od hypotézy rebrandingu, vyhlásenie vydané skupinou spojenou s Hunters International Ransomware takéto tvrdenia vyvrátilo. Podľa aktéra hrozby získali zdrojový kód a infraštruktúru Hive od už neexistujúcej skupiny Hive, čo je tvrdenie podporené aj ďalšími dôkazmi.

Operačné zameranie Hunters International ho odlišuje od konvenčného ransomvéru, o čom svedčia vyhlásenia skupiny aj zdokumentované útoky. Zdá sa, že títo kyberzločinci sa radšej prikláňajú k exfiltrácii údajov, než aby zdôrazňovali šifrovanie súborov. Je zaujímavé, že boli hlásené prípady, keď infekcie Hunters International nezahŕňali žiadnu formu šifrovania.

Prijatie taktiky dvojitého vydierania je pozoruhodný trend, najmä medzi skupinami ako Hunters International, ktoré sa zameriavajú na veľké subjekty, ako sú spoločnosti a organizácie, na rozdiel od jednotlivých používateľov. Na rozdiel od niektorých aktérov hrozieb, ktorí prejavujú selektivitu vo svojich cieľoch, sa zdá, že Hunters International prijíma pri infekciách oportunistickejší prístup.

Geografický rozsah aktivít Hunters International je široký, pričom zdokumentované útoky boli zaznamenané v Severnej a Strednej Amerike, Európe, Ázii a Afrike. Táto rozšírená distribúcia naznačuje nedostatok prísnej selektivity pri zacielení na konkrétne regióny, čo ešte viac zdôrazňuje oportunistický charakter útokov, ktoré vykonáva tento aktér hrozby.

The Hunters International Ransomware je založený na Hive Threat

The Hunters International je kódovaný v programovacom jazyku Rust, čo je v súlade s najnovšími trendmi v kódovaní škodlivého softvéru. Je pozoruhodné, že pôvodný Hive Ransomware využíval na svoje operácie programovací jazyk C a Golang.

Pri porovnaní kódu známeho variantu Hunters International s predchádzajúcimi iteráciami Hive je zrejmé, že kód sa výrazne zjednodušil. Skupina zodpovedná za ransomvér túto úpravu uznala a vyjadrila nespokojnosť s chybami prítomnými v pôvodnom kóde. Niektoré z týchto chýb boli dostatočne závažné na to, aby bránili úspešnému dešifrovaniu, čo si vyžiadalo zdokonalenie.

Hoci boli zverejnené vyhlásenia potvrdzujúce nápravu chýb a odstránenie prekážok pri obnove súborov, analytici malvéru identifikovali pretrvávajúce nedostatky v Hunters International. To viedlo k prevládajúcemu presvedčeniu, že ransomvér stále prechádza vývojom a zdokonaľovaním.

Jednou z pozoruhodných vlastností Hunters International je jeho prispôsobivosť, ktorá umožňuje prispôsobenie v niekoľkých aspektoch. Používatelia môžu zahrnúť špecifické prípony, ktoré sa majú pridať do uzamknutých súborov, odstrániť tieňové kópie zväzku a eliminovať iné spôsoby obnovy údajov. Okrem toho ransomvér umožňuje používateľom určiť minimálnu veľkosť súboru potrebnú na šifrovanie. Je dôležité zdôrazniť, že spoločnosť Hunters International je navrhnutá tak, aby upravovala všetky súbory, s výnimkou vopred určených formátov súborov a adresárov. Táto úroveň prispôsobenia naznačuje určitý stupeň sofistikovanosti v dizajne a funkčnosti ransomvéru.