Hunters International to jedna z najważniejszych grup przestępczych, wykorzystujących w swoich działaniach oprogramowanie ransomware. Zespół CTI CERT Orange Polska przyjrzał się szczegółowo działalności grupy, skupiając się na wyróżniających ją elementach.
Raport o grupie Hunters International znajdziecie pod adresem https://cert.orange.pl/wp-content/uploads/2024/10/CERTOPL_CTI_Hunters_International.pdf / English version can be found at https://cert.orange.pl/wp-content/uploads/2024/11/CERTOPL_CTI_Hunters_International_en.pdf
Pierwsze aktywności grupy Hunters International zanotowano w październiku 2023 roku, niedługo po rozbiciu grupy Hive (styczeń 2023) przez skoordynowane działania służb. Cele Hunters International nie są ograniczone ani geograficznie, ani sektorowo. Z oficjalnej strony DLS grupy wynika, iż większość ich ofiar znajduje się w USA (107 firm), jednak ich ataki dotykają również firm w Europie (41) i Azji (18). Najczęściej atakowane branże obejmują usługi, produkcję, handel, opiekę zdrowotną, finanse, transport, technologie oraz sektor publiczny.
Od Hive do Hunters International
Kod ransomware używany przez Hunters International wykazuje aż 60% zgodności z próbkami pochodzącymi od grupy Hive. Organizacja działa w modelu Ransomware-as-a-Service (RaaS), ogłaszając się niezależnym podmiotem, który nabył kod źródłowy oraz infrastrukturę Hive. Grupa stosuje metodę double extortion, szyfrując i/lub eksfiltrując dane ofiar. W celu uzyskania początkowego dostępu do infrastruktury celów używa narzędzi takich jak SharpRhino, zaś ransomware instalowany na urządzeniach końcowych to nowa wersja złośliwego systemu wcześniej stosowanego przez Hive.
Hunters International gwałtownie zdobyła reputację jednej z najważniejszych grup RaaS, odgrywając wiodącą rolę w trzecim kwartale 2024 roku. Raport, do którego link znajdziecie poniżej, analizuje narzędzia i techniki wykorzystywane przez grupę, w tym szczegóły dotyczące SharpRhino (RAT) oraz specyficzne elementy ich ransomware. Znajdziecie w nim również także zestaw wskaźników naruszenia bezpieczeństwa (Indicators of Compromise, IoC), co może w pomóc w wykryciu aktywności grupy. Celem dokumentu jest dostarczenie informacji na temat charakteru i metod działania Hunters International oraz zapewnienie wskazówek dotyczących ochrony przed atakami ransomware.
Raport o grupie Hunters International znajdziecie pod adresem https://cert.orange.pl/wp-content/uploads/2024/10/CERTOPL_CTI_Hunters_International.pdf.