Hunters International Ransomware
Ang Hunters International ay isang kasuklam-suklam na programa na nauugnay sa isang kamakailang natukoy na organisasyong ransomware na tumatakbo sa ilalim ng 'Hunters International.' Ayon sa kaugalian, ang ransomware ay idinisenyo upang i-encrypt ang data ng biktima, na humihingi ng ransom kapalit ng pag-decryption. Gayunpaman, ang natatanging aspeto ng Hunters International ay nakasalalay sa idineklara nitong pagtuon sa pag-exfiltrate ng data mula sa malalaking entity kaysa sa pag-encrypt lamang ng mga file. Ang pahayag na ito ay sinusuportahan ng mga dokumentadong pag-atake na nauugnay sa ransomware outfit na ito.
Sa mas malapit na pagsusuri sa banta ng Hunters International, napagmasdan na ang ransomware ay nagdaragdag ng mga naka-encrypt na file na may extension na '.locked'. Halimbawa, ang isang file na orihinal na pinangalanang '1.jpg' ay gagawing '1.jpg.naka-lock,' at '2.png' sa '2.png.naka-lock,' at iba pa. Kapansin-pansin na ang partikular na ransomware na ito ay nagtataglay ng kakayahang i-bypass ang pagbabago ng mga filename. Kasunod ng pagkumpleto ng proseso ng pag-encrypt, ang ransomware ay nagdeposito ng ransom note na pinamagatang 'Makipag-ugnay sa Amin.txt.'
Ang Hunters International ay Naisip na Rebrand ng Nakaraang Ransomware Group
Sa una, nagkaroon ng haka-haka na ang Hunters International ay maaaring lumitaw bilang isang resulta ng mga pagsisikap sa rebranding ng pangkat ng ransomware ng Hive. Ang pagpapalagay na ito ay batay sa isang makabuluhang 60% na tugma sa mga code ng parehong mga programa. Kapansin-pansin, matagumpay na napigilan ng FBI at Europol ang mga operasyon ng Hive noong Enero 2023.
Taliwas sa rebranding hypothesis, isang pahayag na inilabas ng grupong nauugnay sa Hunters International Ransomware ay pinabulaanan ang mga naturang claim. Ayon sa aktor ng pagbabanta, nakuha nila ang source code at imprastraktura ng Hive mula sa wala na ngayong Hive group, isang claim na sinusuportahan din ng karagdagang ebidensya.
Ang pokus sa pagpapatakbo ng Hunters International ay nakikilala ito mula sa kumbensyonal na ransomware, bilang ebidensya ng parehong mga pahayag mula sa grupo at mga dokumentadong pag-atake. Sa halip na bigyang-diin ang pag-encrypt ng file, ang mga cybercriminal na ito ay tila napakahilig sa data exfiltration. Nakakaintriga, naiulat ang mga pagkakataon kung saan ang mga impeksyon ng Hunters International ay hindi nagsasangkot ng anumang anyo ng pag-encrypt.
Ang paggamit ng mga taktika ng double-extortion ay isang kapansin-pansing trend, lalo na sa mga grupo tulad ng Hunters International na nagta-target ng malalaking entity gaya ng mga kumpanya at organisasyon, kumpara sa mga indibidwal na user. Hindi tulad ng ilang mga banta na aktor na nagpapakita ng pagiging pili sa kanilang mga target, lumilitaw na ang Hunters International ay gumagamit ng isang mas oportunistikong diskarte sa mga impeksyon nito.
Malawak ang heyograpikong saklaw ng mga aktibidad ng Hunters International, na may mga dokumentadong pag-atake na nabanggit sa North at Central America, Europe, Asia at Africa. Ang malawakang pamamahagi na ito ay nagmumungkahi ng kakulangan ng mahigpit na pagpili sa pag-target sa mga partikular na rehiyon, na higit na binibigyang-diin ang oportunistikong katangian ng mga pag-atake na ginawa ng aktor na ito ng pagbabanta.
Ang Hunters International Ransomware ay Batay sa Hive Threat
Ang Hunters International ay naka-code sa Rust programming language, na umaayon sa kamakailang mga uso sa malware coding. Kapansin-pansin, ang orihinal na Hive Ransomware ay gumamit ng C programming language at Golang para sa mga operasyon nito.
Ang paghahambing ng code ng kilalang variant ng Hunters International sa mga naunang pag-ulit ng Hive, nagiging maliwanag na ang code ay kapansin-pansing pinasimple. Kinikilala ng pangkat na responsable para sa ransomware ang pagbabagong ito, na nagpapahayag ng hindi kasiyahan sa mga error na nasa orihinal na code. Ang ilan sa mga error na ito ay sapat na malubha upang hadlangan ang matagumpay na pag-decryption, na nag-udyok sa pangangailangan para sa pagpipino.
Bagama't ang mga pahayag ay inilabas na nagpapatunay sa pagwawasto ng mga error at pag-aalis ng mga hadlang sa pagbawi ng file, natukoy ng mga analyst ng malware ang mga nananatiling bahid sa Hunters International. Ito ay humantong sa umiiral na paniniwala na ang ransomware ay sumasailalim pa rin sa pag-unlad at pagpipino.
Ang isang kapansin-pansing tampok ng Hunters International ay ang kakayahang umangkop nito, na nagbibigay-daan para sa pagpapasadya sa ilang aspeto. Maaaring magsama ang mga user ng mga partikular na extension na idaragdag sa mga naka-lock na file, tanggalin ang Shadow Volume Copies, at alisin ang iba pang mga paraan sa pagbawi ng data. Bukod pa rito, binibigyang-daan ng ransomware ang mga user na tumukoy ng minimum na laki ng file na kinakailangan para sa pag-encrypt. Mahalagang i-highlight na ang Hunters International ay idinisenyo upang baguhin ang lahat ng mga file, hindi kasama ang mga paunang natukoy na format at direktoryo ng file. Ang antas ng pagpapasadyang ito ay nagmumungkahi ng antas ng pagiging sopistikado sa disenyo at pagpapagana ng ransomware.
