L’opération de Ransomware-as-a-Service (RaaS) de Hunters International est en train de fermer et de changer de marque avec des plans pour passer aux attaques de vol et d’extorsion uniquement.
Comme l’a révélé cette semaine la société de renseignement sur les menaces Group-IB, le groupe de cybercriminalité est resté actif malgré l’annonce le 17 novembre 2024 de sa fermeture en raison de la baisse de sa rentabilité et de la surveillance accrue du gouvernement.
Depuis lors, Hunters International a lancé une nouvelle opération d’extorsion uniquement connue sous le nom de « Fuites mondiales » le 1er janvier 2025.
« Du point de vue de l’administrateur, les ransomwares ne sont plus rentables et risqués. Les criminels collaborant avec le groupe recevront un outil d’exfiltration prétendument auto-développé conçu pour automatiser le processus d’exfiltration de données dans les réseaux des victimes », a déclaré Group-IB mercredi.
« Contrairement à Hunters International, qui combinait cryptage et extorsion, World Leaks fonctionne comme un groupe d’extorsion uniquement utilisant un outil d’exfiltration sur mesure. »
Le nouvel outil semble être une variante améliorée de l’outil d’exfiltration du logiciel de stockage que les affiliés ransomware de Hunters International utilisent également.
Hunters International a fait surface fin 2023 et a été signalé comme un changement de marque possible de Hive en raison de similitudes de code. Son ransomware cible un large éventail de plates-formes, notamment Windows, Linux, FreeBSD, SunOS et ESXi (serveurs VMware), et il prend également en charge les architectures x64, x86 et ARM.
Depuis son apparition, ce gang de ransomwares a revendiqué plus de 280 attaques contre des organisations dans le monde entier, ce qui en fait l’une des opérations de ransomware les plus actives.
Parmi les victimes notables revendiquées par Hunters International figurent Tata Technologies, le concessionnaire automobile nord-américain AutoCanada, le Service des maréchaux des États-Unis, le géant japonais de l’optique Hoya, l’entrepreneur de la marine américaine Austal USA et le plus grand réseau de santé à but non lucratif de l’Oklahoma, Integris Health.
Hunters International a également violé le Fred Hutch Cancer Center en décembre, menaçant de divulguer les données volées de plus de 800 000 patients atteints de cancer s’ils n’étaient pas payés.
Jusqu’à présent, les opérateurs de Hunters International ont ciblé des entreprises de toutes tailles. Breachtrace a vu des demandes de rançon allant de centaines de milliers à des millions de dollars, selon la taille de l’organisation piratée.