Hunters International Ransomware

Hunters International er et ondsindet program forbundet med en nyligt identificeret ransomware-organisation, der opererer under 'Hunters International'. Traditionelt er ransomware designet til at kryptere et offers data og kræver en løsesum i bytte for dekryptering. Men det karakteristiske aspekt ved Hunters International ligger i dets erklærede fokus på dataeksfiltrering fra store enheder frem for udelukkende at kryptere filer. Denne påstand understøttes af dokumenterede angreb, der tilskrives dette ransomware-outfit.

Ved nærmere undersøgelse af Hunters International-truslen er det blevet observeret, at ransomware tilføjer krypterede filer med en '.locked'-udvidelse. For eksempel vil en fil, der oprindeligt hedder '1.jpg', blive transformeret til '1.jpg.locked' og '2.png' til '2.png.locked' og så videre. Det er bemærkelsesværdigt, at denne særlige ransomware har evnen til at omgå ændring af filnavne. Efter afslutningen af krypteringsprocessen deponerer ransomwaren en løsesumseddel med titlen 'Contact Us.txt'.

Hunters International blev anset for at være et rebrand af den tidligere Ransomware-gruppe

Oprindeligt var der spekulationer om, at Hunters International kunne være dukket op som et resultat af rebranding indsats fra Hive ransomware-gruppen. Denne antagelse var baseret på et signifikant match på 60 % i koderne for begge programmer. Især havde FBI og Europol med succes forpurret Hives operationer i januar 2023.

I modsætning til rebranding-hypotesen afviste en erklæring udgivet af gruppen forbundet med Hunters International Ransomware sådanne påstande. Ifølge trusselsaktøren erhvervede de Hives kildekode og infrastruktur fra den nu hedengangne Hive-gruppe, en påstand, som også er blevet understøttet af yderligere beviser.

Hunters Internationals operationelle fokus adskiller det fra konventionel ransomware, som det fremgår af både udtalelser fra gruppen og dokumenterede angreb. I stedet for at lægge vægt på filkryptering, ser disse cyberkriminelle ud til at læne sig kraftigt mod dataeksfiltrering. Spændende er der rapporteret tilfælde, hvor infektioner fra Hunters International ikke involverede nogen form for kryptering.

Indførelsen af dobbeltafpresningstaktik er en bemærkelsesværdig tendens, især blandt grupper som Hunters International, der retter sig mod store enheder såsom virksomheder og organisationer, i modsætning til individuelle brugere. I modsætning til nogle trusselsaktører, der udviser selektivitet i deres mål, ser Hunters International ud til at anvende en mere opportunistisk tilgang i sine infektioner.

Det geografiske omfang af Hunters Internationals aktiviteter er bredt, med dokumenterede angreb noteret i Nord- og Mellemamerika, Europa, Asien og Afrika. Denne udbredte fordeling tyder på en mangel på streng selektivitet i målretning mod specifikke regioner, hvilket yderligere understreger den opportunistiske karakter af angrebene udført af denne trusselsaktør.

Hunters International Ransomware er baseret på Hive-truslen

Hunters International er kodet i Rust-programmeringssproget, der stemmer overens med de seneste malware-kodningstendenser. Især brugte den originale Hive Ransomware programmeringssproget C og Golang til sine operationer.

Ved at sammenligne koden for den kendte variant af Hunters International med tidligere iterationer af Hive, bliver det tydeligt, at koden er blevet mærkbart forenklet. Den gruppe, der er ansvarlig for ransomwaren, anerkendte denne ændring og udtrykte utilfredshed med fejlene i den originale kode. Nogle af disse fejl var alvorlige nok til at hindre vellykket dekryptering, hvilket medførte behovet for forfining.

Selvom erklæringer er blevet frigivet, der bekræfter udbedring af fejl og eliminering af hindringer for filgendannelse, har malware-analytikere identificeret vedvarende fejl i Hunters International. Dette har ført til den fremherskende tro på, at ransomwaren stadig er under udvikling og forfining.

Et bemærkelsesværdigt træk ved Hunters International er dens tilpasningsevne, hvilket giver mulighed for tilpasning i flere aspekter. Brugere kan inkludere specifikke udvidelser, der skal tilføjes til låste filer, slette Shadow Volume Copies og eliminere andre datagendannelsesmuligheder. Derudover giver ransomwaren brugerne mulighed for at angive en minimumsfilstørrelse, der kræves til kryptering. Det er afgørende at fremhæve, at Hunters International er designet til at ændre alle filer, undtagen kun forudbestemte filformater og mapper. Dette niveau af tilpasning antyder en grad af sofistikering i ransomwares design og funktionalitet.