獵人國際勒索軟體

「Hunters International」是一個邪惡程序，與最近發現的「Hunters International」下運作的勒索軟體組織有關。傳統上，勒索軟體旨在加密受害者的數據，要求贖金以換取解密。然而，獵人國際的獨特之處在於其宣稱的重點是從大型實體中竊取數據，而不僅僅是加密文件。這一說法得到了該勒索軟體組織記錄的攻擊的支持。

仔細檢查 Hunters International 威脅後發現，該勒索軟體附加了帶有「.locked」副檔名的加密檔案。例如，最初名為“1.jpg”的檔案將轉換為“1.jpg.locked”，“2.png”將轉換為“2.png.locked”，依此類推。值得注意的是，這種特定的勒索軟體具有繞過更改檔案名稱的能力。加密過程完成後，勒索軟體會存入一張名為「Contact Us.txt」的勒索字條。

Hunters International 被認為是前勒索軟體組織的品牌重塑

最初，有人猜測 Hunters International 的出現可能是 Hive 勒索軟體組織重塑品牌的結果。這個假設是基於兩個程式的程式碼有 60% 的顯著匹配度。值得注意的是，FBI 和歐洲刑警組織於 2023 年 1 月成功挫敗了 Hive 的行動。

與品牌重塑假設相反，與 Hunters International 勒索軟體相關的組織發布的聲明反駁了此類說法。據威脅行為者稱，他們從現已解散的 Hive 組織獲取了 Hive 的源代碼和基礎設施，這一說法也得到了其他證據的支持。

獵人國際的行動重點不同於傳統的勒索軟體，該組織的聲明和記錄的攻擊都證明了這一點。這些網路犯罪分子似乎不強調檔案加密，而是嚴重傾向於資料外洩。有趣的是，據報道，獵人國際的感染並不涉及任何形式的加密。

採用雙重勒索策略是一個顯著的趨勢，尤其是像獵人國際這樣的組織，這些組織針對的是公司和組織等大型實體，而不是個人使用者。與一些對目標表現出選擇性的威脅行為者不同，獵人國際似乎在感染中採取了更為機會主義的方法。

獵人國際活動的地理範圍很廣泛，有記錄的攻擊發生在北美和中美洲、歐洲、亞洲和非洲。這種廣泛的分佈表明在針對特定區域時缺乏嚴格的選擇性，進一步強調了該威脅行為者實施的攻擊的機會主義性質。

Hunters International 勒索軟體基於 Hive 威脅

Hunters International 採用 Rust 程式語言進行編碼，符合最近的惡意軟體編碼趨勢。值得注意的是，最初的Hive 勒索軟體使用 C 程式語言和 Golang 進行操作。

將 Hunters International 已知變體的程式碼與 Hive 的先前版本進行比較，可以明顯看出程式碼已明顯簡化。勒索軟體的負責人承認了這項修改，並對原始程式碼中存在的錯誤表示不滿。其中一些錯誤嚴重到足以阻礙成功解密，因此需要進行改進。

儘管已發布聲明確認錯誤已修正並消除了檔案復原的障礙，但惡意軟體分析師仍發現了 Hunters International 中長期存在的缺陷。這導致人們普遍認為勒索軟體仍在開發和完善中。

Hunters International 的一個顯著特點是其適應性，允許在多個方面進行客製化。使用者可以新增要新增至鎖定檔案的特定副檔名、刪除磁碟區影卷副本以及消除其他資料復原路徑。此外，勒索軟體允許使用者指定加密所需的最小檔案大小。需要強調的是，Hunters International 旨在修改所有文件，僅排除預定的文件格式和目錄。這種程度的定製表明勒索軟體的設計和功能具有一定程度的複雜性。