Cazadores
Hunters International es una operación de ransomware como servicio que apareció por primera vez en la escena de los ciberataques en 2023. Plantea riesgos significativos para organizaciones de todos los sectores y tamaños.
El origen del ransomware Hunters International
Hunters International surgió a finales de 2023 en lo que los expertos del sector identificaron como un intento de reavivar el código de ransomware de una organización de ciberdelincuentes previamente clausurada. Ese código fue utilizado originalmente por Hive, una operación destructiva que extorsionó más de 100 millones de dólares a unas 1.500 víctimas.
Poco después de que el FBI desbaratara Hive, sus operadores pasaron su código a un nuevo grupo llamado Hunters International. El traspaso fue descubierto por investigadores de seguridad a raíz de una oleada de nuevas muestras de ransomware que utilizaban un código fuente muy similar.
Desde entonces, el grupo ha logrado comprometer a víctimas en al menos dos docenas de países.
Fuentes: TechCrunch, Departamento de Justicia de EE.UU., Bitdefender
Objetivos
Objetivos del ransomware Hunters
Países objetivo del grupo de ransomware Hunters
Como su nombre indica, Hunters International tiene como objetivo organizaciones de todo el mundo. En el último recuento, el grupo ha comprometido a víctimas en aproximadamente 30 países. Desde Canadá a Nueva Zelanda, las organizaciones son atacadas más por su vulnerabilidad y la probabilidad de pagar un rescate que por su ubicación. Hasta la fecha, Estados Unidos ha sido el país con mayor número de víctimas de Hunters International.
Fuentes: Revista HIPAA, Ransomware.live
Sectores afectados por el ransomware Hunters
Entre las víctimas de Hunters International se encuentran organizaciones de una amplia gama de sectores, desde la sanidad a la industria manufacturera, pasando por las finanzas, la educación y la automoción. Este estilo indiscriminado significa que el grupo representa un riesgo significativo para organizaciones de todos los tamaños e industrias.
Sectores afectados por el ransomware Hunters
Entre las víctimas de Hunters International se encuentran organizaciones de una amplia gama de sectores, desde la sanidad a la industria manufacturera, pasando por las finanzas, la educación y la automoción. Este estilo indiscriminado significa que el grupo representa un riesgo significativo para organizaciones de todos los tamaños e industrias.
Víctimas del ransomware Hunters
Hasta la fecha, 231 víctimas han sido víctimas del ransomware Hunters International.
Fuente: Ransomware.live
Método de ataque
Método de ataque del ransomware Hunters
Hunters International suele obtener acceso mediante campañas de ingeniería social y phishing diseñadas para engañar a los empleados para que descarguen y ejecuten archivos maliciosos. El grupo también es conocido por utilizar el protocolo de escritorio remoto (RDP).
En algunos casos, Hunters International se hace pasar por programas legítimos de escaneado de puertos para instalar malware y obtener acceso de los empleados de TI. Una vez dentro de la red, el grupo se concede a sí mismo niveles superiores de acceso de administrador.
Hunters International elude la detección utilizando métodos aparentemente legítimos para obtener acceso y desplazarse lateralmente.
El ransomware de Hunters International está escrito en Rust, un lenguaje conocido por su resistencia a la ingeniería inversa y su sólido control de los recursos de bajo nivel.
malware cifra los archivos utilizando una combinación de diferentes cifrados, incrustando la clave cifrada dentro de cada archivo. Este enfoque simplifica el proceso de descifrado para las víctimas que pagan el rescate, al tiempo que complica los esfuerzos para contrarrestar el malware.
Hunters International ha sido responsable de importantes violaciones de datos, pérdidas financieras y daños duraderos a la reputación de la marca.
Acceso inicial
Hunters International suele obtener acceso mediante campañas de ingeniería social y phishing diseñadas para engañar a los empleados para que descarguen y ejecuten archivos maliciosos. El grupo también es conocido por utilizar el protocolo de escritorio remoto (RDP).
Escalada de privilegios
En algunos casos, Hunters International se hace pasar por programas legítimos de escaneado de puertos para instalar malware y obtener acceso de los empleados de TI. Una vez dentro de la red, el grupo se concede a sí mismo niveles superiores de acceso de administrador.
Defensa Evasión
Hunters International elude la detección utilizando métodos aparentemente legítimos para obtener acceso y desplazarse lateralmente.
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
El ransomware de Hunters International está escrito en Rust, un lenguaje conocido por su resistencia a la ingeniería inversa y su sólido control de los recursos de bajo nivel.
Exfiltración
malware cifra los archivos utilizando una combinación de diferentes cifrados, incrustando la clave cifrada dentro de cada archivo. Este enfoque simplifica el proceso de descifrado para las víctimas que pagan el rescate, al tiempo que complica los esfuerzos para contrarrestar el malware.
Impacto
Hunters International ha sido responsable de importantes violaciones de datos, pérdidas financieras y daños duraderos a la reputación de la marca.
MITRE ATT&CK Cartografía
TTPs utilizados por el ransomware Hunters
TA0001: Initial Access
No items found.
TA0002: Execution
T1106
Native API
T1129
Shared Modules
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
No items found.
TA0007: Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar el ransomware Hunters con Vectra AI
Miles de empresas confían en las potentes detecciones basadas en inteligencia artificial para detectar y detener los ataques antes de recibir una nota de rescate.
Preguntas frecuentes
¿Qué es el ransomware Hunters?
Hunters International es una operación de ransomware como servicio (RaaS) que surgió a finales de 2023. Es conocida por dirigirse a una amplia gama de industrias de todo el mundo.
¿Cuál es la conexión de Hunters International con el ransomware Hive?
Hive era un grupo de ransomware desmantelado por el FBI a finales de 2023. Poco después de que se interrumpieran sus operaciones, los investigadores de seguridad identificaron una coincidencia entre el código de Hive y el código utilizado por un nuevo grupo de ransomware llamado Hunters International. Esto llevó a la teoría de que Hive vendió sus activos a Hunters International.
¿Qué técnicas utiliza Hunters International para comprometer a las organizaciones?
Hunters International emplea una doble estrategia de extorsión, combinando el cifrado de datos con la exfiltración de datos. Amenazan con filtrar los datos robados en su sitio de filtración de datos si no se satisfacen las peticiones de rescate.
¿Qué código utiliza Hunters International?
El ransomware de Hunters International está escrito en el lenguaje de programación Rust, conocido por su eficacia y características de seguridad. En particular, el grupo ha agilizado el proceso de cifrado incrustando claves de cifrado dentro de los archivos cifrados, utilizando una combinación de métodos de cifrado.
¿A qué sectores se dirige Hunters International?
Demostrando un enfoque no discriminatorio, Hunters International se ha dirigido a organizaciones de diversos sectores, como la sanidad, la automoción, la fabricación, la logística, las finanzas, la educación y la alimentación.
¿A qué países se dirige Hunters International?
Hunters International, como su nombre indica, tiene un alcance mundial. Se han identificado víctimas en Francia, Alemania, Australia, Brasil, Canadá, Japón, Namibia, Nueva Zelanda, España, Reino Unido y Estados Unidos, además de muchos otros países. Esta estrategia oportunista subraya su interés por explotar vulnerabilidades en una amplia gama de sectores y regiones.
¿Cuáles son las implicaciones de un ataque de Hunters International?
Las víctimas de Hunters International sufren importantes pérdidas, tanto económicas como de reputación. Por ejemplo: En septiembre de 2024, Hunters International se atribuyó el ataque a la sucursal londinense del Banco Industrial y Comercial de China (ICBC). El grupo robó más de 5,2 millones de archivos y 6,6 TB de datos.
¿Cómo pueden las organizaciones detectar y responder a los ataques de Hunters International?
Las organizaciones pueden mejorar sus capacidades de detección y respuesta implementando una sólida plataforma de detección de amenazas basada en IA. De este modo, los equipos SOC disponen de la información que necesitan para detectar y detener las actividades de ransomware en tiempo real.
¿Cuáles son las mejores formas de prevenir un ataque de Hunters International?
Para mitigar la amenaza que suponen Hunters International y otros grupos de ransomware similares, los profesionales de la ciberseguridad deben realizar copias de seguridad periódicas, formar a los empleados para que reconozcan los ataques de phishing y asegurarse de que todos los sistemas y el software están actualizados con los últimos parches. Además, las detecciones basadas en IA ayudan a identificar a los atacantes después de la intrusión, antes de que puedan lanzar el ransomware.
¿Cuántas organizaciones se han visto ya afectadas por Hunters International?
En el último recuento, 231 organizaciones se habían visto afectadas por el ransomware Hunters. Esto incluye 123 ataques solo en Estados Unidos.