Hunters International, ozloglašena ransomware grupa koja je nedavno preuzela odgovornost za napad na indijsku inženjersku firmu Tata Technologies, se rebrendira i prelazi isključivo na taktike iznošenja podataka, navodi bezbjednosno-obavještajna firma Group-IB.
Aktivna od kraja 2023. godine, Hunters je ransomware-as-a-service (RaaS) grupa koja je usvojila mnoge alate i tehnike povezane sa Hive-om, ransomware bandom koju su organi reda razbili u januaru 2023. godine.
Prema informacijama Group-IB-a, dokazi ukazuju na to da je Hunters zapravo rebrendirani Hive: saradnici i operateri drugih ransomware grupa referišu na RaaS kao Hive, a neki od pojedinaca uključenih u operaciju kontaktirani su od strane administratora Huntersa sa istih naloga koje je koristio Hive.
Na svom leak sajtu baziranom na Tor mreži, grupa je objavila podatke o otprilike 300 žrtava, od kojih se skoro polovina nalazi u Sjevernoj Americi. Hunters je takođe napao više od 50 organizacija u Evropi i dvije desetine u Aziji. Najviše su pogođeni sektori nekretnina, zdravstva, profesionalnih usluga, finansijskih usluga, vlade i energetike.
Panel za saradnike Hunters grupe omogućava sajber kriminalcima da registruju žrtvu, prilagode maliciozni softver i komuniciraju sa žrtvom. Panel takođe pruža alat pod nazivom Storage Software, koji prikuplja metapodatke o fajlovima ukradenim od žrtve i šalje ih na servere Huntersa.
Saradnici mogu postaviti iznos otkupnine preko panela, a dobijaju i softver za enkripciju fajlova, koji je kompatibilan sa x64, x86 i ARM arhitekturama i može se izvršavati na Windows i Linux sistemima. Ako žrtva plati otkupninu, saradnik dobija 80% prihoda.
Prema podacima Group-IB-a, alat Storage Software se takođe može koristiti za preuzimanje i brisanje fajlova, pod uslovom da se izvršava na istom hostu na kojem se fajlovi nalaze, što sugeriše da ukradeni podaci u početku ostaju kod saradnika. Žrtvama koje plate otkupninu vjerovatno se pruža pristup za preuzimanje i brisanje podataka.
Najnovija verzija ransomware-a, kako navodi Group-IB, više ne ostavlja poruku o otkupnini niti mijenja nazive enkriptovanih fajlova dodavanjem specifičnih ekstenzija.
Počevši od avgusta 2024. godine, grupa preferira da direktno kontaktira izvršnog direktora i ključne zaposlene organizacije žrtve, kako bi napad ostao u tajnosti i povećale se šanse da rukovodstvo odobri isplatu otkupnine.
Hunters sarađuje sa trećom stranom koja pruža OSINT usluge za prikupljanje informacija o zaposlenima žrtve, koje se potom koriste za ucjenu. Prema navodima Group-IB-a, očekuje se da će većina grupa koje se bave iznudom u budućnosti usvojiti ovu taktiku.
Na osnovu internih bilješki koje su objavili operateri RaaS-a, bezbjednosna firma vjeruje da grupa planira da se povuče iz upotrebe ransomware-a koji enkriptuje fajlove, jer je to postalo rizično i neisplativo.
„Kao rezultat toga, operateri su 1. januara 2025. godine pokrenuli novi projekat pod nazivom World Leaks. Umjesto dvostruke ucjene, operacija će se preusmjeriti na napade koji se zasnivaju isključivo na iznošenju podataka“, navodi Group-IB, dodajući da je projekat ubrzo obustavljen kako bi se riješili infrastrukturni problemi.
Saradnicima bi bio obezbijeđen alat za automatizovanu krađu podataka, koji je u potpunosti nedetektabilan i koji može uspostaviti mrežne konekcije putem proxy servera, slično kao Storage Software.
„Slično kao što je CISA primijetila u vezi sa BianLian-om, druge ransomware grupe bi mogle na kraju preći sa dvostruke ucjene na isključivo iznošenje podataka i u skladu s tim razviti metode za automatizaciju ovog procesa“, zaključuje Group-IB.
Izvor: SecurityWeek
