Програми-вимагачі Hunters International

Hunters International — це мерзенна програма, пов’язана з нещодавно ідентифікованою організацією програм-вимагачів, яка працює під назвою «Hunters International». Традиційно програми-вимагачі призначені для шифрування даних жертви, вимагаючи викуп в обмін на розшифровку. Тим не менш, відмінний аспект Hunters International полягає в тому, що він задекларував фокус на викраденні даних у великих організацій, а не лише на шифруванні файлів. Це твердження підтверджується задокументованими атаками, пов’язаними з цим програмним забезпеченням-вимагачем.

Після детальнішого вивчення загрози Hunters International було помічено, що програма-вимагач додає зашифровані файли з розширенням «.locked». Наприклад, файл із початковою назвою «1.jpg» буде перетворено на «1.jpg.locked», а «2.png» — на «2.png.locked» і так далі. Варто зазначити, що ця програма-вимагач має можливість обходити зміну назв файлів. Після завершення процесу шифрування програма-вимагач розміщує повідомлення про викуп під назвою «Зв’яжіться з нами.txt».

Hunters International вважалося ребрендингом попередньої групи програм-вимагачів

Спочатку існували припущення, що Hunters International могла виникнути в результаті ребрендингу групи програм-вимагачів Hive. Це припущення ґрунтувалося на значному збігу кодів обох програм на 60%. Примітно, що ФБР і Європол успішно зірвали операції Hive у січні 2023 року.

Всупереч гіпотезі про ребрендинг, заява, опублікована групою, пов’язаною з Hunters International Ransomware, спростовує такі заяви. За словами зловмисника, вони придбали вихідний код та інфраструктуру Hive від нині неіснуючої групи Hive, твердження, яке також було підтверджено додатковими доказами.

Операційна спрямованість Hunters International відрізняє її від звичайних програм-вимагачів, про що свідчать як заяви групи, так і задокументовані атаки. Замість того, щоб наголошувати на шифруванні файлів, ці кіберзлочинці, здається, сильно схиляються до викрадання даних. Цікаво, що повідомлялося про випадки, коли зараження Hunters International не включало жодної форми шифрування.

Застосування тактики подвійного вимагання є помітною тенденцією, особливо серед таких груп, як Hunters International, які націлені на великі організації, такі як компанії та організації, на відміну від окремих користувачів. На відміну від деяких загрозливих акторів, які виявляють вибірковість у своїх цілях, Hunters International, схоже, приймає більш опортуністичний підхід до своїх інфекцій.

Географія діяльності Hunters International широка, із задокументованими нападами в Північній і Центральній Америці, Європі, Азії та Африці. Таке широке розповсюдження свідчить про відсутність суворої вибірковості при націлюванні на конкретні регіони, ще більше підкреслюючи опортуністичний характер атак, які здійснюються цим загрозливим суб’єктом.

Програмне забезпечення-вимагач Hunters International базується на загрозі Hive

Hunters International створено на мові програмування Rust, що відповідає останнім тенденціям кодування шкідливих програм. Примітно, що оригінальне програмне забезпечення-вимагач Hive використовувало мову програмування C і Golang для своїх операцій.

Порівнюючи код відомого варіанту Hunters International з попередніми ітераціями Hive, стає помітно, що код помітно спростився. Група, відповідальна за програму-вимагач, визнала цю модифікацію, висловивши невдоволення помилками, присутніми в оригінальному коді. Деякі з цих помилок були досить серйозними, щоб перешкодити успішному розшифруванню, що спонукало до необхідності вдосконалення.

Хоча були оприлюднені заяви, що підтверджують виправлення помилок і усунення перешкод для відновлення файлів, аналітики зловмисного програмного забезпечення виявили постійні недоліки в Hunters International. Це призвело до переважаючої думки, що програмне забезпечення-вимагач все ще перебуває в стадії розробки та вдосконалення.

Однією з помітних особливостей Hunters International є його адаптивність, що дозволяє налаштовувати кілька аспектів. Користувачі можуть додавати спеціальні розширення до заблокованих файлів, видаляти тіньові копії томів і вилучати інші шляхи відновлення даних. Крім того, програма-вимагач дає змогу користувачам вказати мінімальний розмір файлу, необхідний для шифрування. Важливо підкреслити, що Hunters International розроблено для зміни всіх файлів, за винятком лише попередньо визначених форматів файлів і каталогів. Цей рівень налаштування свідчить про певний ступінь складності в дизайні та функціональності програми-вимагача.