Cazadores Internacionales Ransomware

Hunters International es un programa nefasto asociado con una organización de ransomware identificada recientemente que opera bajo el nombre de 'Hunters International'. Tradicionalmente, el ransomware está diseñado para cifrar los datos de una víctima, exigiendo un rescate a cambio de descifrarlos. Sin embargo, el aspecto distintivo de Hunters International radica en su enfoque declarado en la filtración de datos de grandes entidades en lugar de únicamente cifrar archivos. Esta afirmación está respaldada por ataques documentados atribuidos a este grupo de ransomware.

Tras un examen más detenido de la amenaza Hunters International, se ha observado que el ransomware añade archivos cifrados con una extensión '.locked'. Por ejemplo, un archivo originalmente llamado '1.jpg' se transformaría en '1.jpg.locked' y '2.png' en '2.png.locked', y así sucesivamente. Cabe destacar que este ransomware en particular posee la capacidad de evitar la alteración de los nombres de los archivos. Una vez completado el proceso de cifrado, el ransomware deposita una nota de rescate titulada "Contáctenos.txt".

Se pensaba que Hunters International era un cambio de marca del grupo de ransomware anterior

Inicialmente, se especuló que Hunters International podría haber surgido como resultado de los esfuerzos de cambio de marca del grupo de ransomware Hive. Esta suposición se basó en una coincidencia significativa del 60% en los códigos de ambos programas. En particular, el FBI y Europol frustraron con éxito las operaciones de Hive en enero de 2023.

Contrariamente a la hipótesis del cambio de marca, una declaración publicada por el grupo asociado con Hunters International Ransomware refutó tales afirmaciones. Según el actor de amenazas, adquirieron el código fuente y la infraestructura de Hive del ahora desaparecido grupo Hive, una afirmación que también ha sido respaldada por evidencia adicional.

El enfoque operativo de Hunters International lo distingue del ransomware convencional, como lo demuestran tanto las declaraciones del grupo como los ataques documentados. En lugar de centrarse en el cifrado de archivos, estos ciberdelincuentes parecen inclinarse en gran medida hacia la exfiltración de datos. Curiosamente, se han informado casos en los que las infecciones de Hunters International no implicaron ningún tipo de cifrado.

La adopción de tácticas de doble extorsión es una tendencia notable, especialmente entre grupos como Hunters International, que se dirigen a grandes entidades como empresas y organizaciones, en lugar de a usuarios individuales. A diferencia de algunos actores de amenazas que muestran selectividad en sus objetivos, Hunters International parece adoptar un enfoque más oportunista en sus infecciones.

El alcance geográfico de las actividades de Hunters International es amplio, con ataques documentados observados en América del Norte y Central, Europa, Asia y África. Esta distribución generalizada sugiere una falta de selectividad estricta al atacar regiones específicas, lo que enfatiza aún más la naturaleza oportunista de los ataques llevados a cabo por este actor de amenazas.

El ransomware Hunters International se basa en la amenaza Hive

Hunters International está codificado en el lenguaje de programación Rust, alineándose con las tendencias recientes de codificación de malware. En particular, el Hive Ransomware original utilizó el lenguaje de programación C y Golang para sus operaciones.

Comparando el código de la variante conocida de Hunters International con iteraciones anteriores de Hive, resulta evidente que el código se ha simplificado notablemente. El grupo responsable del ransomware reconoció esta modificación y expresó su descontento con los errores presentes en el código original. Algunos de estos errores fueron lo suficientemente graves como para impedir el descifrado exitoso, lo que generó la necesidad de perfeccionarlos.

Aunque se han publicado declaraciones que afirman la rectificación de errores y la eliminación de obstáculos para la recuperación de archivos, los analistas de malware han identificado fallas persistentes en Hunters International. Esto ha llevado a la creencia predominante de que el ransomware aún está en desarrollo y perfeccionamiento.

Una característica notable de Hunters International es su adaptabilidad, lo que permite la personalización en varios aspectos. Los usuarios pueden incluir extensiones específicas para agregar a los archivos bloqueados, eliminar las instantáneas de volumen y eliminar otras vías de recuperación de datos. Además, el ransomware permite a los usuarios especificar un tamaño de archivo mínimo requerido para el cifrado. Es fundamental resaltar que Hunters International está diseñado para modificar todos los archivos, excluyendo únicamente los directorios y formatos de archivos predeterminados. Este nivel de personalización sugiere un grado de sofisticación en el diseño y la funcionalidad del ransomware.