Cacciatori
Hunters International è un'operazione di ransomware-as-a-service che ha fatto la sua comparsa sulla scena degli attacchi informatici nel 2023. Pone rischi significativi alle organizzazioni di tutti i settori e di tutte le dimensioni.
L'origine del ransomware Hunters International
Hunters International è emerso alla fine del 2023 in quello che gli esperti del settore hanno identificato come un tentativo di riaccendere il codice ransomware di un'organizzazione di criminalità informatica precedentemente chiusa. Quel codice era stato originariamente utilizzato da Hive, un'operazione distruttiva che ha estorto più di 100 milioni di dollari a circa 1.500 vittime.
Poco dopo che l'FBI ha interrotto Hive, i suoi operatori hanno passato il loro codice a un nuovo gruppo chiamato Hunters International. Il passaggio è stato scoperto dai ricercatori di sicurezza in seguito a una serie di nuovi campioni di ransomware che utilizzano un codice sorgente molto simile.
Da allora, il gruppo ha compromesso con successo vittime in almeno due dozzine di Paesi.
Fonti: TechCrunch, Dipartimento di Giustizia degli Stati Uniti, Bitdefender
Obiettivi
Obiettivi di Hunters Ransomware
Paesi presi di mira dal gruppo Hunters Ransomware
Come suggerisce il nome, Hunters International prende di mira organizzazioni di tutto il mondo. All'ultimo conteggio, il gruppo ha compromesso vittime in circa 30 Paesi. Dal Canada alla Nuova Zelanda, le organizzazioni sono prese di mira più per la loro vulnerabilità e la probabilità di pagare un riscatto che per la loro ubicazione. Ad oggi, gli Stati Uniti hanno registrato il maggior numero di vittime di Hunters International.
Fonti: Giornale HIPAA, Ransomware.live
Settori presi di mira dal gruppo Hunters Ransomware
Tra le vittime di Hunters International ci sono organizzazioni che operano in un'ampia gamma di settori, da quello sanitario a quello manifatturiero, passando per la finanza, l'istruzione e il settore automobilistico. Questo stile indiscriminato fa sì che il gruppo rappresenti un rischio significativo per le organizzazioni di ogni dimensione e settore.
Settori presi di mira dal gruppo Hunters Ransomware
Tra le vittime di Hunters International ci sono organizzazioni che operano in un'ampia gamma di settori, da quello sanitario a quello manifatturiero, passando per la finanza, l'istruzione e il settore automobilistico. Questo stile indiscriminato fa sì che il gruppo rappresenti un rischio significativo per le organizzazioni di ogni dimensione e settore.
Le vittime di Hunters Ransomware
Ad oggi, 231 vittime sono state vittime del ransomware Hunters International.
Fonte: Ransomware.live
Metodo di attacco
Metodo di attacco di Hunters Ransomware
Hunters International ottiene tipicamente l'accesso con campagne di social engineering e phishing progettate per indurre i dipendenti a scaricare ed eseguire file dannosi. Il gruppo è noto anche per aver sfruttato il protocollo Remote Desktop (RDP).
In alcuni casi, Hunters International si spaccia per programmi legittimi di scansione delle porte per installare malware e ottenere l'accesso dei dipendenti IT. Una volta all'interno della rete, il gruppo si concede livelli più elevati di accesso all'amministrazione.
Hunters International elude il rilevamento utilizzando metodi apparentemente legittimi per ottenere l'accesso e spostarsi lateralmente.
Il ransomware Hunters International è scritto in Rust, un linguaggio apprezzato per la sua resistenza al reverse engineering e per il controllo robusto sulle risorse di basso livello.
malware cripta i file utilizzando una combinazione di diversi cifrari, incorporando la chiave crittografica all'interno di ogni file. Questo approccio semplifica il processo di decriptazione per le vittime che pagano il riscatto, mentre complica gli sforzi per contrastare malware.
Hunters International è stata responsabile di significative violazioni di dati, perdite finanziarie e danni duraturi alla reputazione del marchio.
Accesso iniziale
Hunters International ottiene tipicamente l'accesso con campagne di social engineering e phishing progettate per indurre i dipendenti a scaricare ed eseguire file dannosi. Il gruppo è noto anche per aver sfruttato il protocollo Remote Desktop (RDP).
Escalation dei privilegi
In alcuni casi, Hunters International si spaccia per programmi legittimi di scansione delle porte per installare malware e ottenere l'accesso dei dipendenti IT. Una volta all'interno della rete, il gruppo si concede livelli più elevati di accesso all'amministrazione.
Difesa Evasione
Hunters International elude il rilevamento utilizzando metodi apparentemente legittimi per ottenere l'accesso e spostarsi lateralmente.
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Il ransomware Hunters International è scritto in Rust, un linguaggio apprezzato per la sua resistenza al reverse engineering e per il controllo robusto sulle risorse di basso livello.
Esfiltrazione
malware cripta i file utilizzando una combinazione di diversi cifrari, incorporando la chiave crittografica all'interno di ogni file. Questo approccio semplifica il processo di decriptazione per le vittime che pagano il riscatto, mentre complica gli sforzi per contrastare malware.
Impatto
Hunters International è stata responsabile di significative violazioni di dati, perdite finanziarie e danni duraturi alla reputazione del marchio.
MITRE ATT&CK Mappatura
TTP utilizzate da Hunters Ransomware
TA0001: Initial Access
No items found.
TA0002: Execution
T1106
Native API
T1129
Shared Modules
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
No items found.
TA0007: Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare il ransomware Hunters con Vectra AI
Migliaia di organizzazioni aziendali si affidano a potenti rilevamenti guidati dall'intelligenza artificiale per individuare e bloccare gli attacchi, prima di essere colpiti da una nota di riscatto.
DOMANDE FREQUENTI
Che cos'è il ransomware Hunters?
Hunters International è un'operazione di ransomware-as-a-service (RaaS) emersa alla fine del 2023. È nota per aver preso di mira un'ampia gamma di settori industriali in tutto il mondo.
Qual è il legame di Hunters International con Hive Ransomware?
Hive era un gruppo di ransomware abbattuto dall'FBI alla fine del 2023. Poco dopo l'interruzione delle sue operazioni, i ricercatori di sicurezza hanno identificato una corrispondenza tra il codice di Hive e quello utilizzato da un nuovo gruppo ransomware chiamato Hunters International. Ciò ha portato a ipotizzare che Hive abbia venduto le proprie risorse a Hunters International.
Quali tecniche utilizza Hunters International per compromettere le organizzazioni?
Hunters International impiega una doppia strategia di estorsione, combinando la crittografia e l'esfiltrazione dei dati. Minacciano di divulgare i dati rubati sul loro sito di fuga di dati se non vengono soddisfatte le richieste di riscatto.
Quale codice utilizza Hunters International?
Il ransomware Hunters International è scritto nel linguaggio di programmazione Rust, noto per la sua efficienza e le sue caratteristiche di sicurezza. In particolare, il gruppo ha semplificato il processo di crittografia incorporando le chiavi di crittografia all'interno dei file crittografati, utilizzando una combinazione di metodi di crittografia.
A quali settori si rivolge Hunters International?
Dimostrando un approccio non discriminatorio, Hunters International ha preso di mira organizzazioni di vari settori, tra cui quello sanitario, automobilistico, manifatturiero, logistico, finanziario, educativo e alimentare.
Quali sono i Paesi presi di mira da Hunters International?
Hunters International, come suggerisce il nome, ha una portata globale. Sono state identificate vittime in Francia, Germania, Australia, Brasile, Canada, Giappone, Namibia, Nuova Zelanda, Spagna, Regno Unito e Stati Uniti, oltre a molti altri Paesi. Questa strategia di targeting opportunistico sottolinea la loro attenzione a sfruttare le vulnerabilità in un'ampia gamma di settori e regioni.
Quali sono le implicazioni di un attacco di Hunters International?
Le vittime di Hunters International subiscono perdite significative, sia dal punto di vista finanziario che della reputazione. Ad esempio: Nel settembre 2024, Hunters International ha rivendicato la responsabilità della violazione della filiale di Londra della Industrial and Commercial Bank of China (ICBC). Il gruppo ha sottratto più di 5,2 milioni di file e 6,6 TB di dati.
Come possono le organizzazioni rilevare e rispondere agli attacchi di Hunters International?
Le organizzazioni possono migliorare le capacità di rilevamento e risposta implementando una solida piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale. Ciò consente ai team SOC di disporre delle informazioni necessarie per individuare e bloccare le attività di ransomware in tempo reale.
Quali sono i modi migliori per prevenire un attacco di Hunters International?
Per mitigare la minaccia rappresentata da Hunters International e da gruppi di ransomware simili, i professionisti della sicurezza informatica dovrebbero effettuare backup regolari, formare i dipendenti a riconoscere gli attacchi di phishing e garantire che tutti i sistemi e i software siano aggiornati con le patch più recenti. Inoltre, i rilevamenti guidati dall'intelligenza artificiale aiutano a identificare gli aggressori dopo la compromissione, prima che possano lanciare il ransomware.
Quante organizzazioni hanno già subito l'impatto di Hunters International?
All'ultimo conteggio, 231 organizzazioni erano state colpite dal ransomware Hunters. Tra queste, 123 attacchi solo negli Stati Uniti.