Remises multi-licences
Threat Database Ransomware Ransomware international des chasseurs

Ransomware international des chasseurs

Par Mezo en Ransomware
Se traduisent par :
Français

Hunters International est un programme néfaste associé à une organisation de ransomware récemment identifiée opérant sous le nom de « Hunters International ». Traditionnellement, les ransomwares sont conçus pour chiffrer les données d'une victime, exigeant une rançon en échange du décryptage. Cependant, l’aspect distinctif de Hunters International réside dans sa focalisation déclarée sur l’exfiltration de données de grandes entités plutôt que sur le seul cryptage de fichiers. Cette affirmation est étayée par des attaques documentées attribuées à ce ransomware.

Après un examen plus approfondi de la menace Hunters International, il a été observé que le ransomware ajoute aux fichiers cryptés une extension « .locked ». Par exemple, un fichier initialement nommé « 1.jpg » serait transformé en « 1.jpg.locked » et « 2.png » en « 2.png.locked », et ainsi de suite. Il est à noter que ce ransomware particulier possède la capacité de contourner la modification des noms de fichiers. Une fois le processus de cryptage terminé, le ransomware dépose une demande de rançon intitulée « Contactez-nous.txt ».

Hunters International était considéré comme une nouvelle image du précédent groupe de ransomwares.

Initialement, il y avait des spéculations selon lesquelles Hunters International aurait pu émerger à la suite des efforts de changement de marque du groupe de ransomware Hive. Cette hypothèse était basée sur une concordance significative de 60 % dans les codes des deux programmes. Notamment, le FBI et Europol ont réussi à contrecarrer les opérations de Hive en janvier 2023.

Contrairement à l’hypothèse du rebranding, une déclaration publiée par le groupe associé à Hunters International Ransomware a réfuté ces affirmations. Selon l'auteur de la menace, ils ont acquis le code source et l'infrastructure de Hive auprès du groupe Hive, aujourd'hui disparu, une affirmation qui a également été étayée par des preuves supplémentaires.

L’orientation opérationnelle de Hunters International le distingue des ransomwares conventionnels, comme en témoignent à la fois les déclarations du groupe et les attaques documentées. Plutôt que de mettre l’accent sur le chiffrement des fichiers, ces cybercriminels semblent fortement pencher vers l’exfiltration de données. Curieusement, des cas ont été signalés dans lesquels des infections par Hunters International n’impliquaient aucune forme de cryptage.

L’adoption de tactiques de double extorsion est une tendance notable, en particulier parmi des groupes comme Hunters International qui ciblent de grandes entités telles que des entreprises et des organisations, par opposition aux utilisateurs individuels. Contrairement à certains acteurs malveillants qui font preuve de sélectivité dans leurs cibles, Hunters International semble adopter une approche plus opportuniste dans ses infections.

La portée géographique des activités de Hunters International est vaste, avec des attaques documentées notées en Amérique du Nord et centrale, en Europe, en Asie et en Afrique. Cette répartition généralisée suggère un manque de sélectivité stricte dans le ciblage de régions spécifiques, soulignant encore davantage la nature opportuniste des attaques menées par cet acteur menaçant.

Le ransomware Hunters International est basé sur la menace Hive

Hunters International est codé dans le langage de programmation Rust, ce qui correspond aux récentes tendances en matière de codage de logiciels malveillants. Notamment, le Hive Ransomware original utilisait le langage de programmation C et Golang pour ses opérations.

En comparant le code de la variante connue de Hunters International avec les itérations précédentes de Hive, il devient évident que le code s'est sensiblement simplifié. Le groupe responsable du ransomware a reconnu cette modification, exprimant son mécontentement face aux erreurs présentes dans le code original. Certaines de ces erreurs étaient suffisamment graves pour empêcher le décryptage réussi, ce qui a nécessité un affinement.

Bien que des déclarations aient été publiées affirmant la rectification des erreurs et l'élimination des obstacles à la récupération des fichiers, les analystes de logiciels malveillants ont identifié des failles persistantes dans Hunters International. Cela a conduit à la croyance dominante que le ransomware est encore en cours de développement et de perfectionnement.

Une caractéristique notable de Hunters International est son adaptabilité, permettant une personnalisation sous plusieurs aspects. Les utilisateurs peuvent inclure des extensions spécifiques à ajouter aux fichiers verrouillés, supprimer les clichés instantanés de volumes et éliminer d'autres voies de récupération de données. De plus, le ransomware permet aux utilisateurs de spécifier une taille de fichier minimale requise pour le cryptage. Il est crucial de souligner que Hunters International est conçu pour modifier tous les fichiers, à l'exclusion uniquement des formats de fichiers et répertoires prédéterminés. Ce niveau de personnalisation suggère un certain degré de sophistication dans la conception et les fonctionnalités du ransomware.

Tendance

Le plus regardé

Chargement...