Hunters International Ransomware

The Hunters International ist ein schändliches Programm, das mit einer kürzlich identifizierten Ransomware-Organisation in Verbindung steht, die unter dem Namen „Hunters International“ operiert. Traditionell zielt Ransomware darauf ab, die Daten eines Opfers zu verschlüsseln und im Gegenzug für die Entschlüsselung ein Lösegeld zu verlangen. Der besondere Aspekt von Hunters International liegt jedoch in seinem erklärten Fokus auf die Datenexfiltration von großen Unternehmen und nicht nur auf die Verschlüsselung von Dateien. Diese Behauptung wird durch dokumentierte Angriffe gestützt, die dieser Ransomware-Gruppe zugeschrieben werden.

Bei näherer Betrachtung der Bedrohung durch Hunters International wurde festgestellt, dass die Ransomware verschlüsselte Dateien mit der Erweiterung „.locked“ anhängt. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.jpg“ in „1.jpg.locked“ und „2.png“ in „2.png.locked“ usw. umgewandelt werden. Es ist bemerkenswert, dass diese spezielle Ransomware die Möglichkeit besitzt, die Änderung der Dateinamen zu umgehen. Nach Abschluss des Verschlüsselungsprozesses hinterlegt die Ransomware einen Lösegeldschein mit dem Titel „Contact Us.txt“.

Es wurde angenommen, dass The Hunters International eine Umbenennung der vorherigen Ransomware-Gruppe war

Zunächst gab es Spekulationen darüber, dass Hunters International als Ergebnis der Rebranding-Bemühungen der Hive-Ransomware-Gruppe entstanden sein könnte. Diese Annahme basierte auf einer signifikanten 60-prozentigen Übereinstimmung in den Codes beider Programme. Insbesondere hatten das FBI und Europol die Operationen von Hive im Januar 2023 erfolgreich vereitelt.

Entgegen der Rebranding-Hypothese widerlegte eine von der mit der Hunters International Ransomware verbundenen Gruppe veröffentlichte Erklärung diese Behauptungen. Nach Angaben des Bedrohungsakteurs haben sie den Quellcode und die Infrastruktur von Hive von der inzwischen aufgelösten Hive-Gruppe erworben, eine Behauptung, die auch durch zusätzliche Beweise gestützt wurde.

Der operative Fokus der Hunters International unterscheidet sie von herkömmlicher Ransomware, wie sowohl Aussagen der Gruppe als auch dokumentierte Angriffe belegen. Anstatt den Schwerpunkt auf Dateiverschlüsselung zu legen, scheinen diese Cyberkriminellen stark auf Datenexfiltration zu setzen. Interessanterweise wurden Fälle gemeldet, in denen Infektionen durch Hunters International keinerlei Form der Verschlüsselung beinhalteten.

Die Einführung von Taktiken der doppelten Erpressung ist ein bemerkenswerter Trend, insbesondere bei Gruppen wie Hunters International, die es auf große Einheiten wie Unternehmen und Organisationen und nicht auf einzelne Benutzer abgesehen haben. Im Gegensatz zu einigen Bedrohungsakteuren, die bei ihren Zielen selektiv vorgehen, scheint Hunters International bei seinen Infektionen einen eher opportunistischen Ansatz zu verfolgen.

Die geografische Reichweite der Aktivitäten von Hunters International ist breit gefächert, wobei dokumentierte Angriffe in Nord- und Mittelamerika, Europa, Asien und Afrika verzeichnet wurden. Diese weite Verbreitung deutet auf einen Mangel an strikter Selektivität bei der Ausrichtung auf bestimmte Regionen hin, was den opportunistischen Charakter der von diesem Bedrohungsakteur durchgeführten Angriffe weiter unterstreicht.

Die Ransomware Hunters International basiert auf der Hive-Bedrohung

The Hunters International ist in der Programmiersprache Rust codiert und entspricht damit den aktuellen Trends bei der Malware-Codierung. Bemerkenswert ist, dass die ursprüngliche Hive-Ransomware für ihre Operationen die Programmiersprache C und Golang nutzte.

Vergleicht man den Code der bekannten Variante von Hunters International mit früheren Iterationen von Hive, fällt auf, dass der Code deutlich vereinfacht wurde. Die für die Ransomware verantwortliche Gruppe hat diese Änderung zur Kenntnis genommen und ihre Unzufriedenheit mit den Fehlern im Originalcode zum Ausdruck gebracht. Einige dieser Fehler waren schwerwiegend genug, um eine erfolgreiche Entschlüsselung zu verhindern, sodass eine Verbesserung erforderlich war.

Obwohl Erklärungen veröffentlicht wurden, in denen die Behebung von Fehlern und die Beseitigung von Hindernissen bei der Wiederherstellung von Dateien bestätigt wurden, haben Malware-Analysten verbleibende Schwachstellen bei Hunters International identifiziert. Dies hat zu der vorherrschenden Annahme geführt, dass sich die Ransomware noch in der Entwicklung und Verfeinerung befindet.

Ein bemerkenswertes Merkmal von Hunters International ist seine Anpassungsfähigkeit, die eine individuelle Anpassung in mehreren Aspekten ermöglicht. Benutzer können bestimmte Erweiterungen hinzufügen, die zu gesperrten Dateien hinzugefügt werden, die Volumenschattenkopien löschen und andere Möglichkeiten zur Datenwiederherstellung eliminieren. Darüber hinaus ermöglicht die Ransomware Benutzern, eine für die Verschlüsselung erforderliche Mindestdateigröße anzugeben. Es ist wichtig hervorzuheben, dass Hunters International darauf ausgelegt ist, alle Dateien zu ändern, mit Ausnahme vorgegebener Dateiformate und Verzeichnisse. Dieses Maß an Anpassung deutet auf ein gewisses Maß an Raffinesse im Design und in der Funktionalität der Ransomware hin.