Phần mềm tống tiền quốc tế Hunters
Hunters International là một chương trình bất chính có liên quan đến một tổ chức ransomware được xác định gần đây hoạt động dưới tên 'Hunters International'. Theo truyền thống, ransomware được thiết kế để mã hóa dữ liệu của nạn nhân, yêu cầu tiền chuộc để đổi lấy việc giải mã. Tuy nhiên, khía cạnh đặc biệt của Hunters International nằm ở chỗ nó tập trung vào việc lọc dữ liệu từ các thực thể lớn thay vì chỉ mã hóa các tệp. Khẳng định này được hỗ trợ bởi các cuộc tấn công được ghi lại do loại ransomware này gây ra.
Khi kiểm tra kỹ hơn về mối đe dọa Hunters International, người ta nhận thấy rằng phần mềm ransomware gắn thêm các tệp được mã hóa với phần mở rộng '.locked'. Ví dụ: một tệp có tên ban đầu là '1.jpg' sẽ được chuyển đổi thành '1.jpg.locked' và '2.png' thành '2.png.locked', v.v. Đáng chú ý là phần mềm ransomware đặc biệt này có khả năng bỏ qua việc thay đổi tên tệp. Sau khi hoàn tất quá trình mã hóa, ransomware sẽ gửi một thông báo đòi tiền chuộc có tiêu đề 'Liên hệ với chúng tôi.txt'.
Hunters International được cho là một thương hiệu mới của Nhóm Ransomware trước đây
Ban đầu, có suy đoán rằng Hunters International có thể nổi lên do nỗ lực đổi thương hiệu của nhóm ransomware Hive. Giả định này dựa trên sự trùng khớp đáng kể 60% trong mã của cả hai chương trình. Đáng chú ý, FBI và Europol đã ngăn chặn thành công hoạt động của Hive vào tháng 1 năm 2023.
Trái ngược với giả thuyết đổi thương hiệu, một tuyên bố do nhóm liên kết với Hunters International Ransomware đưa ra đã bác bỏ những tuyên bố đó. Theo tác nhân đe dọa, họ đã mua được mã nguồn và cơ sở hạ tầng của Hive từ nhóm Hive hiện không còn tồn tại, một tuyên bố cũng đã được hỗ trợ bởi bằng chứng bổ sung.
Trọng tâm hoạt động của Hunters International giúp phân biệt nó với ransomware thông thường, bằng chứng là cả tuyên bố của nhóm và các cuộc tấn công được ghi lại. Thay vì nhấn mạnh vào việc mã hóa tập tin, những tội phạm mạng này dường như thiên về việc đánh cắp dữ liệu. Điều thú vị là, đã có báo cáo về các trường hợp lây nhiễm do Hunters International thực hiện không liên quan đến bất kỳ hình thức mã hóa nào.
Việc áp dụng chiến thuật tống tiền kép là một xu hướng đáng chú ý, đặc biệt là giữa các nhóm như Hunters International nhắm vào các thực thể lớn như công ty và tổ chức, trái ngược với người dùng cá nhân. Không giống như một số tác nhân đe dọa thể hiện tính chọn lọc trong mục tiêu của mình, Hunters International dường như áp dụng cách tiếp cận cơ hội hơn trong việc lây nhiễm của mình.
Phạm vi địa lý hoạt động của Hunters International rất rộng, với các cuộc tấn công được ghi nhận ở Bắc và Trung Mỹ, Châu Âu, Châu Á và Châu Phi. Sự phân phối rộng rãi này cho thấy sự thiếu chọn lọc nghiêm ngặt trong việc nhắm mục tiêu vào các khu vực cụ thể, nhấn mạnh hơn nữa bản chất cơ hội của các cuộc tấn công do tác nhân đe dọa này thực hiện.
Ransomware Hunters International dựa trên mối đe dọa Hive
Hunters International được mã hóa bằng ngôn ngữ lập trình Rust, phù hợp với xu hướng mã hóa phần mềm độc hại gần đây. Đáng chú ý, Hive Ransomware ban đầu sử dụng ngôn ngữ lập trình C và Golang cho hoạt động của nó.
So sánh mã của biến thể đã biết của Hunters International với các lần lặp lại trước đó của Hive, có thể thấy rõ rằng mã đã được đơn giản hóa đáng kể. Nhóm chịu trách nhiệm về ransomware đã thừa nhận sửa đổi này, bày tỏ sự không hài lòng với các lỗi có trong mã gốc. Một số lỗi này đủ nghiêm trọng để cản trở việc giải mã thành công, dẫn đến nhu cầu phải sàng lọc lại.
Mặc dù các tuyên bố đã được đưa ra khẳng định việc sửa lỗi và loại bỏ các trở ngại đối với việc khôi phục tệp, các nhà phân tích phần mềm độc hại đã xác định được những sai sót còn sót lại trong Hunters International. Điều này dẫn đến niềm tin phổ biến rằng ransomware vẫn đang trong quá trình phát triển và sàng lọc.
Một tính năng đáng chú ý của Hunters International là khả năng thích ứng, cho phép tùy chỉnh ở một số khía cạnh. Người dùng có thể bao gồm các tiện ích mở rộng cụ thể để thêm vào các tệp bị khóa, xóa Bản sao ổ đĩa bóng tối và loại bỏ các cách khôi phục dữ liệu khác. Ngoài ra, ransomware còn cho phép người dùng chỉ định kích thước tệp tối thiểu cần thiết để mã hóa. Điều quan trọng cần nhấn mạnh là Hunters International được thiết kế để sửa đổi tất cả các tệp, chỉ ngoại trừ các định dạng và thư mục tệp được xác định trước. Mức độ tùy chỉnh này cho thấy mức độ phức tạp trong thiết kế và chức năng của ransomware.
