Hunters International Ransomware

Hunters International är ett ondskefullt program som är kopplat till en nyligen identifierad ransomware-organisation som verkar under "Hunters International". Traditionellt är ransomware utformad för att kryptera ett offers data och kräver en lösensumma i utbyte mot dekryptering. Den utmärkande aspekten av Hunters International ligger dock i dess uttalade fokus på dataexfiltrering från stora enheter snarare än att enbart kryptera filer. Detta påstående stöds av dokumenterade attacker som tillskrivs denna ransomware-outfit.

Vid närmare granskning av Hunters International-hotet, har det observerats att ransomwaren lägger till krypterade filer med tillägget '.locked'. Till exempel skulle en fil som ursprungligen hette '1.jpg' omvandlas till '1.jpg.locked' och '2.png' till '2.png.locked' och så vidare. Det är anmärkningsvärt att denna speciella ransomware har förmågan att kringgå ändring av filnamnen. Efter slutförandet av krypteringsprocessen sätter ransomware in en lösensumma med titeln "Contact Us.txt".

The Hunters International ansågs vara en ommärkning av den tidigare Ransomware-gruppen

Inledningsvis fanns det spekulationer om att Hunters International kan ha uppstått som ett resultat av rebranding-ansträngningar från Hive ransomware-gruppen. Detta antagande baserades på en signifikant matchning på 60 % i koderna för båda programmen. Noterbart var att FBI och Europol framgångsrikt omintetgjorde Hives verksamhet i januari 2023.

I motsats till hypotesen om varumärkesförändring, motbevisade ett uttalande som släppts av gruppen associerad med Hunters International Ransomware sådana påståenden. Enligt hotaktören skaffade de Hives källkod och infrastruktur från den numera nedlagda Hive-gruppen, ett påstående som också har stöds av ytterligare bevis.

Hunters Internationals operativa fokus skiljer den från konventionell ransomware, vilket framgår av både uttalanden från gruppen och dokumenterade attacker. Istället för att betona filkryptering verkar dessa cyberbrottslingar luta sig kraftigt mot dataexfiltrering. Intressant nog har fall rapporterats där infektioner från Hunters International inte involverade någon form av kryptering.

Antagandet av dubbel utpressningstaktik är en anmärkningsvärd trend, särskilt bland grupper som Hunters International som riktar sig mot stora enheter som företag och organisationer, i motsats till enskilda användare. Till skillnad från vissa hotaktörer som uppvisar selektivitet i sina mål, verkar Hunters International anta en mer opportunistisk strategi i sina infektioner.

Den geografiska omfattningen av Hunters Internationals verksamhet är bred, med dokumenterade attacker noterade i Nord- och Centralamerika, Europa, Asien och Afrika. Denna utbredda spridning tyder på en brist på strikt selektivitet när det gäller att rikta in sig på specifika regioner, vilket ytterligare betonar den opportunistiska karaktären hos de attacker som denna hotaktör utför.

Hunters International Ransomware är baserad på Hive-hotet

Hunters International är kodad i Rust-programmeringsspråket, i linje med de senaste trenderna för kodning av skadlig kod. Noterbart använde den ursprungliga Hive Ransomware programmeringsspråket C och Golang för sin verksamhet.

Genom att jämföra koden för den kända varianten av Hunters International med tidigare iterationer av Hive, blir det uppenbart att koden har märkbart förenklats. Gruppen som är ansvarig för ransomware erkände denna ändring och uttryckte missnöje med felen i den ursprungliga koden. Några av dessa fel var tillräckligt allvarliga för att hindra framgångsrik dekryptering, vilket ledde till behovet av förfining.

Även om uttalanden har släppts som bekräftar rättelse av fel och eliminering av hinder för filåterställning, har analytiker av skadlig programvara identifierat kvardröjande brister i Hunters International. Detta har lett till den rådande uppfattningen att ransomwaren fortfarande håller på att utvecklas och förfinas.

En anmärkningsvärd egenskap hos Hunters International är dess anpassningsförmåga, vilket möjliggör anpassning i flera aspekter. Användare kan inkludera specifika tillägg som ska läggas till låsta filer, ta bort Shadow Volume Copies och eliminera andra dataåterställningsvägar. Dessutom gör ransomwaren det möjligt för användare att ange en minsta filstorlek som krävs för kryptering. Det är viktigt att betona att Hunters International är utformad för att modifiera alla filer, exklusive endast förutbestämda filformat och kataloger. Denna nivå av anpassning antyder en grad av sofistikering i ransomwarens design och funktionalitet.