Hunters International Ransomware

Hunters International je nečeden program, povezan z nedavno identificirano organizacijo za izsiljevalsko programsko opremo, ki deluje pod 'Hunters International'. Tradicionalno je izsiljevalska programska oprema zasnovana tako, da šifrira podatke žrtve in zahteva odkupnino v zameno za dešifriranje. Vendar pa je značilen vidik Hunters International njegova deklarirana osredotočenost na izločanje podatkov iz velikih subjektov in ne le na šifriranje datotek. To trditev podpirajo dokumentirani napadi, pripisani tej opremi z izsiljevalsko programsko opremo.

Po natančnejšem pregledu grožnje Hunters International je bilo ugotovljeno, da izsiljevalska programska oprema dodaja šifrirane datoteke s pripono '.locked'. Na primer, datoteka s prvotnim imenom '1.jpg' bi bila preoblikovana v '1.jpg.locked' in '2.png' v '2.png.locked,' in tako naprej. Omeniti velja, da ima ta izsiljevalska programska oprema zmožnost, da zaobide spreminjanje imen datotek. Po zaključku postopka šifriranja izsiljevalska programska oprema odloži obvestilo o odkupnini z naslovom »Stik z nami.txt«.

Hunters International naj bi bila prenovljena blagovna znamka prejšnje skupine Ransomware

Sprva so se špekulirale, da se je Hunters International morda pojavila kot rezultat preoblikovanja blagovne znamke skupine Hive ransomware. Ta predpostavka je temeljila na pomembnem 60-odstotnem ujemanju kod obeh programov. Zlasti FBI in Europol sta januarja 2023 uspešno preprečila operacije Hive.

V nasprotju s hipotezo o spremembi blagovne znamke je izjava, ki jo je objavila skupina, povezana z Hunters International Ransomware, ovrgla takšne trditve. Po besedah akterja grožnje so izvorno kodo in infrastrukturo Hive pridobili od zdaj propadle skupine Hive, kar je bila podprta tudi z dodatnimi dokazi.

Operativna osredotočenost Hunters International jo razlikuje od običajne izsiljevalske programske opreme, kar dokazujejo tako izjave skupine kot dokumentirani napadi. Namesto da bi poudarjali šifriranje datotek, se zdi, da se ti kiberkriminalci močno nagibajo k izvabljanju podatkov. Zanimivo je, da so poročali o primerih, ko okužbe s strani Hunters International niso vključevale nobene oblike šifriranja.

Sprejetje taktike dvojnega izsiljevanja je opazen trend, zlasti med skupinami, kot je Hunters International, ki ciljajo na velike subjekte, kot so podjetja in organizacije, v nasprotju s posameznimi uporabniki. Za razliko od nekaterih akterjev groženj, ki izkazujejo selektivnost pri svojih tarčah, se zdi, da ima Hunters International bolj oportunističen pristop pri svojih okužbah.

Geografski obseg dejavnosti Hunters International je širok, z dokumentiranimi napadi, opaženimi v Severni in Srednji Ameriki, Evropi, Aziji in Afriki. Ta razširjena porazdelitev kaže na pomanjkanje stroge selektivnosti pri ciljanju na določene regije, kar dodatno poudarja oportunistično naravo napadov, ki jih izvaja ta akter grožnje.

Hunters International Ransomware temelji na grožnji Hive

Hunters International je kodiran v programskem jeziku Rust, kar je v skladu z nedavnimi trendi kodiranja zlonamerne programske opreme. Predvsem prvotna izsiljevalska programska oprema Hive je za svoje delovanje uporabljala programski jezik C in Golang.

Če primerjamo kodo znane različice Hunters International s prejšnjimi iteracijami Hive, postane očitno, da se je koda opazno poenostavila. Skupina, odgovorna za izsiljevalsko programsko opremo, je priznala to spremembo in izrazila nezadovoljstvo zaradi napak v izvirni kodi. Nekatere od teh napak so bile dovolj resne, da so onemogočale uspešno dešifriranje, zaradi česar je bila potrebna izboljšava.

Čeprav so bile objavljene izjave, ki potrjujejo odpravo napak in odpravo ovir za obnovitev datotek, so analitiki zlonamerne programske opreme odkrili dolgotrajne napake v Hunters International. To je vodilo do prevladujočega prepričanja, da se izsiljevalska programska oprema še vedno razvija in izpopolnjuje.

Ena od pomembnih lastnosti Hunters International je njegova prilagodljivost, ki omogoča prilagajanje v več vidikih. Uporabniki lahko vključijo posebne razširitve, ki jih je treba dodati zaklenjenim datotekam, izbrišejo kopije senčnih nosilcev in odpravijo druge načine za obnovitev podatkov. Poleg tega izsiljevalska programska oprema uporabnikom omogoča, da določijo najmanjšo velikost datoteke, ki je potrebna za šifriranje. Ključno je poudariti, da je Hunters International zasnovan za spreminjanje vseh datotek, razen vnaprej določenih formatov datotek in imenikov. Ta stopnja prilagajanja kaže na določeno stopnjo prefinjenosti zasnove in funkcionalnosti izsiljevalske programske opreme.