Hunters Uluslararası Fidye Yazılımı

Hunters International, yakın zamanda tespit edilen ve 'Hunters International' adı altında faaliyet gösteren bir fidye yazılımı organizasyonuyla bağlantılı hain bir programdır. Geleneksel olarak fidye yazılımı, kurbanın verilerini şifrelemek ve şifre çözme karşılığında fidye talep etmek için tasarlanmıştır. Ancak Hunters International'ın ayırt edici yönü, yalnızca dosyaları şifrelemek yerine büyük kuruluşlardan veri sızdırmaya odaklanmış olmasıdır. Bu iddia, bu fidye yazılımı donanımına atfedilen belgelenmiş saldırılarla desteklenmektedir.

Hunters International tehdidi daha yakından incelendiğinde, fidye yazılımının şifrelenmiş dosyaları '.locked' uzantısıyla eklediği gözlemlendi. Örneğin, orijinal adı '1.jpg' olan bir dosya '1.jpg.kilitli'ye, '2.png' ise '2.png.kilitli'ye vb. dönüştürülür. Bu özel fidye yazılımının dosya adlarını değiştirmeyi atlama yeteneğine sahip olması dikkat çekicidir. Şifreleme işleminin tamamlanmasının ardından fidye yazılımı 'Bize Ulaşın.txt' başlıklı bir fidye notu bırakır.

Hunters International'ın Önceki Fidye Yazılımı Grubunun Yeniden Markası Olduğu Düşünülüyordu

Başlangıçta, Hunters International'ın Hive fidye yazılımı grubunun yeniden markalaştırma çabaları sonucunda ortaya çıkmış olabileceğine dair spekülasyonlar vardı. Bu varsayım, her iki programın kodlarındaki %60'lık önemli bir eşleşmeye dayanıyordu. Özellikle FBI ve Europol, Ocak 2023'te Hive'ın operasyonlarını başarıyla engellemişti.

Yeniden markalama hipotezinin aksine, Hunters International Ransomware ile bağlantılı grup tarafından yayınlanan bir bildiri, bu tür iddiaları yalanladı. Tehdit aktörüne göre, Hive'ın kaynak kodunu ve altyapısını artık kullanılmayan Hive grubundan aldılar. Bu iddia, ek kanıtlarla da destekleniyor.

Hunters International'ın operasyonel odağı, hem grubun açıklamalarından hem de belgelenen saldırılardan da anlaşılacağı üzere onu geleneksel fidye yazılımlarından ayırıyor. Bu siber suçlular, dosya şifrelemeyi vurgulamak yerine ağırlıklı olarak veri hırsızlığına yöneliyor gibi görünüyor. İlginç bir şekilde, Hunters International'ın neden olduğu enfeksiyonların herhangi bir şifreleme biçimi içermediği örnekler rapor edilmiştir.

Çifte şantaj taktiklerinin benimsenmesi, özellikle bireysel kullanıcıların aksine şirketler ve kuruluşlar gibi büyük varlıkları hedef alan Hunters International gibi gruplar arasında dikkate değer bir eğilimdir. Hedeflerinde seçicilik sergileyen bazı tehdit aktörlerinin aksine Hunters International, enfeksiyonlarında daha fırsatçı bir yaklaşım benimsiyor gibi görünüyor.

Hunters International'ın faaliyetlerinin coğrafi kapsamı geniştir; Kuzey ve Orta Amerika, Avrupa, Asya ve Afrika'da belgelenen saldırılar kaydedilmiştir. Bu yaygın dağılım, belirli bölgeleri hedeflemede katı bir seçiciliğin bulunmadığını gösteriyor ve bu tehdit aktörü tarafından gerçekleştirilen saldırıların fırsatçı doğasını daha da vurguluyor.

Hunters International Fidye Yazılımı Hive Tehditini Temel Almaktadır

Hunters International, son kötü amaçlı yazılım kodlama eğilimlerine uygun olarak Rust programlama dilinde kodlanmıştır. Orijinal Hive Ransomware'in işlemleri için özellikle C programlama dilini ve Golang'ı kullandığı görüldü.

Hunters International'ın bilinen versiyonunun kodu, Hive'ın önceki versiyonlarıyla karşılaştırıldığında, kodun gözle görülür derecede basitleştiği ortaya çıkıyor. Fidye yazılımından sorumlu grup, orijinal koddaki hatalardan duyduğu memnuniyetsizliği ifade ederek bu değişikliği kabul etti. Bu hatalardan bazıları başarılı şifre çözmeyi engelleyecek kadar ciddiydi ve bu da iyileştirme ihtiyacını doğurdu.

Hataların düzeltildiğini ve dosya kurtarmanın önündeki engellerin ortadan kaldırıldığını doğrulayan açıklamalar yayınlanmış olsa da, kötü amaçlı yazılım analistleri Hunters International'da kalıcı kusurlar tespit etti. Bu durum, fidye yazılımının hala geliştirilme ve iyileştirme aşamasında olduğu yönündeki yaygın inanışın oluşmasına yol açtı.

Hunters International'ın dikkate değer bir özelliği, çeşitli yönlerden özelleştirmeye olanak tanıyan uyarlanabilirliğidir. Kullanıcılar kilitli dosyalara eklenecek belirli uzantıları ekleyebilir, Gölge Birim Kopyalarını silebilir ve diğer veri kurtarma yollarını ortadan kaldırabilir. Ayrıca fidye yazılımı, kullanıcıların şifreleme için gereken minimum dosya boyutunu belirtmesine olanak tanır. Hunters International'ın yalnızca önceden belirlenmiş dosya formatları ve dizinler hariç tüm dosyaları değiştirmek üzere tasarlandığını vurgulamak çok önemlidir. Bu düzeydeki özelleştirme, fidye yazılımının tasarımında ve işlevselliğinde bir dereceye kadar gelişmişlik olduğunu gösteriyor.