ฮันเตอร์ อินเตอร์เนชั่นแนล แรนซั่มแวร์

Hunters International เป็นโปรแกรมชั่วร้ายที่เกี่ยวข้องกับองค์กรแรนซัมแวร์ที่ระบุเมื่อเร็วๆ นี้ ซึ่งดำเนินงานภายใต้ 'Hunters International' ตามธรรมเนียมแล้ว แรนซัมแวร์ได้รับการออกแบบมาเพื่อเข้ารหัสข้อมูลของเหยื่อ โดยเรียกร้องค่าไถ่เพื่อแลกกับการถอดรหัส อย่างไรก็ตาม ลักษณะที่โดดเด่นของ Hunters International อยู่ที่การประกาศมุ่งเน้นไปที่การขโมยข้อมูลจากหน่วยงานขนาดใหญ่มากกว่าการเข้ารหัสไฟล์เพียงอย่างเดียว การยืนยันนี้ได้รับการสนับสนุนจากการโจมตีที่บันทึกไว้ซึ่งมาจากชุดแรนซัมแวร์นี้

จากการตรวจสอบภัยคุกคาม Hunters International อย่างใกล้ชิด พบว่าแรนซัมแวร์ผนวกไฟล์ที่เข้ารหัสด้วยนามสกุล '.locked' ตัวอย่างเช่น ไฟล์เดิมชื่อ '1.jpg' จะถูกแปลงเป็น '1.jpg.locked' และ '2.png' เป็น '2.png.locked' และอื่นๆ เป็นที่น่าสังเกตว่าแรนซัมแวร์นี้มีความสามารถในการหลีกเลี่ยงการเปลี่ยนชื่อไฟล์ หลังจากเสร็จสิ้นกระบวนการเข้ารหัส แรนซัมแวร์จะฝากบันทึกเรียกค่าไถ่ชื่อ 'ติดต่อเรา.txt'

Hunters International ถูกคิดว่าเป็นการรีแบรนด์ของกลุ่ม Ransomware ก่อนหน้านี้

ในขั้นต้น มีการคาดเดากันว่า Hunters International อาจเกิดขึ้นอันเป็นผลมาจากความพยายามในการรีแบรนด์โดยกลุ่ม Hive ransomware สมมติฐานนี้มีพื้นฐานมาจากการจับคู่โค้ดของทั้งสองโปรแกรมอย่างมีนัยสำคัญถึง 60% โดยเฉพาะอย่างยิ่ง FBI และ Europol สามารถขัดขวางการดำเนินงานของ Hive ในเดือนมกราคม 2023 ได้สำเร็จ

ตรงกันข้ามกับสมมติฐานการเปลี่ยนโฉมใหม่ คำแถลงที่เผยแพร่โดยกลุ่มที่เกี่ยวข้องกับ Hunters International Ransomware ได้หักล้างคำกล่าวอ้างดังกล่าว ตามที่ผู้คุกคามระบุ พวกเขาได้รับซอร์สโค้ดและโครงสร้างพื้นฐานของ Hive จากกลุ่ม Hive ที่ปัจจุบันเลิกให้บริการไปแล้ว ซึ่งเป็นข้อเรียกร้องซึ่งได้รับการสนับสนุนโดยหลักฐานเพิ่มเติม

จุดเน้นในการดำเนินงานของ Hunters International ทำให้แตกต่างจากแรนซัมแวร์ทั่วไป โดยเห็นได้จากข้อความจากกลุ่มและการโจมตีที่บันทึกไว้ แทนที่จะเน้นการเข้ารหัสไฟล์ อาชญากรไซเบอร์เหล่านี้ดูเหมือนจะเอนเอียงไปทางการขโมยข้อมูลอย่างมาก มีรายงานกรณีที่น่าสนใจว่าการติดเชื้อโดย Hunters International ไม่เกี่ยวข้องกับการเข้ารหัสทุกรูปแบบ

การใช้กลยุทธ์การขู่กรรโชกซ้ำซ้อนถือเป็นกระแสที่โดดเด่น โดยเฉพาะอย่างยิ่งในกลุ่มต่างๆ เช่น Hunters International ที่กำหนดเป้าหมายไปที่องค์กรขนาดใหญ่ เช่น บริษัทและองค์กร เมื่อเทียบกับผู้ใช้รายบุคคล แตกต่างจากผู้แสดงภัยคุกคามบางรายที่แสดงการเลือกเป้าหมายอย่างพิถีพิถัน Hunters International ดูเหมือนจะใช้แนวทางที่ฉวยโอกาสมากกว่าในการติดเชื้อ

ขอบเขตทางภูมิศาสตร์ของกิจกรรมของฮันเตอร์ส อินเตอร์เนชั่นแนลนั้นกว้าง โดยมีเอกสารการโจมตีระบุไว้ในอเมริกาเหนือและอเมริกากลาง ยุโรป เอเชีย และแอฟริกา การกระจายอย่างกว้างขวางนี้ชี้ให้เห็นถึงการขาดการคัดเลือกอย่างเข้มงวดในการกำหนดเป้าหมายไปยังภูมิภาคใดภูมิภาคหนึ่งโดยเฉพาะ โดยเน้นย้ำถึงลักษณะการฉวยโอกาสของการโจมตีที่ดำเนินการโดยผู้คุกคามรายนี้

Hunters International Ransomware มีพื้นฐานมาจากภัยคุกคาม Hive

Hunters International ได้รับการเข้ารหัสในภาษาการเขียนโปรแกรม Rust ซึ่งสอดคล้องกับแนวโน้มการเข้ารหัสมัลแวร์ล่าสุด โดยเฉพาะอย่างยิ่ง Hive Ransomware ดั้งเดิมใช้ภาษาการเขียนโปรแกรม C และ Golang สำหรับการดำเนินงาน

เมื่อเปรียบเทียบโค้ดของเวอร์ชันที่รู้จักของ Hunters International กับเวอร์ชันก่อนหน้าของ Hive จะเห็นได้ชัดว่าโค้ดนั้นเรียบง่ายลงอย่างเห็นได้ชัด กลุ่มที่รับผิดชอบเกี่ยวกับแรนซัมแวร์รับทราบการแก้ไขนี้ โดยแสดงความไม่พอใจกับข้อผิดพลาดที่มีอยู่ในโค้ดต้นฉบับ ข้อผิดพลาดเหล่านี้บางส่วนมีความรุนแรงพอที่จะขัดขวางการถอดรหัสได้สำเร็จ ส่งผลให้จำเป็นต้องปรับแต่ง

แม้ว่าจะมีการเผยแพร่แถลงการณ์ยืนยันการแก้ไขข้อผิดพลาดและการขจัดอุปสรรคในการกู้คืนไฟล์ แต่นักวิเคราะห์มัลแวร์ได้ระบุข้อบกพร่องที่ยังคงอยู่ใน Hunters International สิ่งนี้นำไปสู่ความเชื่อที่แพร่หลายว่าแรนซัมแวร์ยังอยู่ระหว่างการพัฒนาและปรับปรุง

คุณลักษณะเด่นอย่างหนึ่งของ Hunters International คือความสามารถในการปรับตัว ทำให้สามารถปรับแต่งได้ในหลายแง่มุม ผู้ใช้สามารถรวมส่วนขยายเฉพาะที่จะเพิ่มลงในไฟล์ที่ถูกล็อค ลบ Shadow Volume Copies และกำจัดช่องทางการกู้คืนข้อมูลอื่น ๆ นอกจากนี้ แรนซัมแวร์ยังช่วยให้ผู้ใช้ระบุขนาดไฟล์ขั้นต่ำที่จำเป็นสำหรับการเข้ารหัสได้ สิ่งสำคัญคือต้องเน้นว่า Hunters International ได้รับการออกแบบมาเพื่อแก้ไขไฟล์ทั้งหมด ยกเว้นเฉพาะรูปแบบไฟล์และไดเร็กทอรีที่กำหนดไว้ล่วงหน้าเท่านั้น การปรับแต่งระดับนี้บ่งบอกถึงระดับความซับซ้อนในการออกแบบและการทำงานของแรนซัมแวร์