La aparición de esta operación de ransomware como servicio (RaaS) a finales de 2023 ha capturado la atención por su herencia técnica y enfoques operacionales similares a los empleados por el conocido colectivo de ransomware Hive. Tras la interrupción de Hive por parte de las fuerzas del orden, el surgimiento de Hunters International justo después destaca la resiliencia y capacidad de adaptación de las organizaciones de ciberdelincuencia.
Hunters International emergió en el mundo digital justo cuando las fuerzas policiales desmantelaron el grupo de ransomware Hive. Este nuevo grupo, identificado en el tercer trimestre de 2023, mostró una significativa similitud técnica con Hive, sugiriendo una evolución o una derivación de la operación previamente desarticulada.
Esta transición subraya las tácticas adaptables de las redes de cibercriminales, que evolucionan para mantener sus actividades malignas a pesar de los esfuerzos de la aplicación de la ley. El origen y las estrategias operativas de Hunters International destacan una continua amenaza en el ámbito de la extorsión cibernética y el robo de datos.
Conoce más sobre: Hunters International: ¿Ransomware Hive Reinventado?
Una vez más, las tácticas y el ransomware utilizado muestran una superposición significativa con el ransomware Hive, lo que sugiere un linaje compartido o una posible transferencia de tecnología. Esta conexión implica que Hunters International ha heredado o adaptado las técnicas de cifrado y estrategias operativas de Hive.
En enero de 2023, una coalición conformada por el Departamento de Justicia de EE. UU., el FBI, el Servicio Secreto, Europol y agencias europeas emprendió un ataque contra el grupo de ransomware Hive. Este colectivo notorio, responsable de extorsionar más de 100 millones de dólares a más de 1.500 víctimas en todo el mundo desde junio de 2021, incluidos sectores como salud, educación y finanzas, vio confiscados dos de sus sitios de extorsión y filtración de datos.
Estas acciones demostraron el compromiso de las fuerzas del orden internacionales para desmantelar las amenazas cibernéticas y proteger a los sectores vulnerables de los ataques de ransomware.
Te podrá interesar: Operación global frena el avance del Ransomware LockBit
El desmantelamiento de la red de Hive se llevó a cabo después de una operación encubierta de siete meses del FBI, que les otorgó acceso a la red y permitió proporcionar claves de descifrado a más de 300 entidades, evitando alrededor de 130 millones de dólares en posibles pagos de rescate. Además, se entregaron 1.000 llaves adicionales a víctimas anteriores.
Aunque no hubo arrestos, la operación tuvo un impacto significativo en las operaciones de Hive, resaltando los desafíos que enfrentan las fuerzas del orden con los ciberdelincuentes que a menudo residen en jurisdicciones poco cooperativas con los esfuerzos internacionales de aplicación de la ley. Esto plantea interrogantes sobre las acciones futuras de estos grupos desorganizados.
En torno a estos eventos, un informe de Bitdefender incluso sugirió que los líderes de Hive optaron estratégicamente por poner fin a sus operaciones y transferir activos a Hunters International.
De hecho, los investigadores de seguridad de X (anteriormente Twitter) afirmaron que Hunters tenía aproximadamente un 60% de similitud en el código cuando se lanzó por primera vez.
Sin embargo, ante estas acusaciones, Hunters International afirmó que no son simplemente una nueva versión de Hive, sino una entidad independiente que tomó el control del código fuente y la infraestructura de Hive. Su principal enfoque operativo es el robo de datos en lugar de su cifrado, lo que distingue su enfoque del de Hive.
Su explicación parece plausible. Según lo analizado, el enfoque del grupo se inclina significativamente hacia el robo de datos, como lo demuestran todas las víctimas conocidas que experimentaron la exfiltración de datos, mientras que no todos los datos de las víctimas estaban cifrados. Hunters International parece haber personalizado el ransomware de Hive para mejorar la simplicidad y la eficiencia.
Al reducir las opciones de la línea de comandos y optimizar la administración de claves de cifrado, hicieron que su malware fuera menos detallado y más fácil de usar para los operativos. El cambio a Rust, que refleja las tendencias en el desarrollo sofisticado de ransomware, ayuda a evadir la detección y facilita un cifrado más rápido.
Su enfoque único incorpora claves de cifrado dentro de los archivos cifrados, un método destinado a agilizar el proceso de descifrado para las víctimas que pagan el rescate y al mismo tiempo complica los esfuerzos de los profesionales de seguridad para contrarrestar el malware.
Te podrá interesar: Albabat, Kasseika, Kuiper: Nuevos grupos de Ransomware con Rust/Golang
Hunters International ha dirigido sus ataques a una amplia variedad de industrias en todo el mundo, mostrando un alcance global con un enfoque estratégico en maximizar el impacto y el potencial de rescate. Sus víctimas provienen de sectores que incluyen salud, automoción, manufactura, logística, financiero, educativo y alimentario, lo que indica una estrategia no discriminatoria destinada a explotar cualquier entidad vulnerable.
El grupo ha estado extremadamente activo, lanzando ataques contra numerosas organizaciones en todo el mundo. Aunque la mayoría de sus objetivos están en Estados Unidos, su alcance se ha extendido más allá, llegando a empresas y organizaciones en Europa, Canadá, Brasil e incluso lugares tan remotos como Nueva Zelanda y Japón. Parece que están arrojando una red amplia para ver qué pueden atrapar, sin importar realmente quién sea la víctima.
Además, no muestran restricciones en cuanto a quién atacan. Ya sea una empresa de energía, un hospital, una escuela o incluso un zoológico, todos son blancos fáciles para este grupo. Parece que simplemente buscan cualquier oportunidad para obtener beneficios, dirigiéndose a aquellos que podrían carecer de una sólida protección contra los ataques cibernéticos o que realmente sentirían la presión de pagar si sus datos fueran comprometidos o bloqueados.
Te podrá interesar: Evita el Pago de Ransomware: Riesgos del Rescate
Las investigaciones subsiguientes sobre Hunters International llevaron a la revelación de la identidad de su sitio de filtración de datos, indicando posibles conexiones con Nigeria a través de registros de dominio y direcciones de correo electrónico asociadas al grupo. El 22 de enero de 2024, Hunters International lanzó una versión no oculta de su sitio de filtración con el mismo nombre.
Según afirmaciones, descubrieron un sitio web que no había estado activo desde 2021, empleando un seudónimo para ocultar su verdadera identidad y complicar su rastreo. Al investigar más a fondo, encontraron direcciones de correo electrónico que podrían vincular al grupo con Nigeria.
Sin embargo, es posible que estas direcciones de correo sean meros señuelos diseñados para desviar la atención. Esta amalgama de identidades verdaderas y falsas ejemplifica la dificultad de descubrir los responsables de los delitos cibernéticos, mostrando la astucia y complejidad de grupos como Hunters International, que operan a nivel mundial con gran discreción.
Conoce más sobre: Protección contra Ransomware con Acronis
El impacto de los ataques de ransomware perpetrados por Hunters International es de múltiples facetas, como lo son muchos incidentes de ransomware, ocasionando filtraciones de datos significativas, pérdidas financieras y daños a la reputación de las organizaciones afectadas.
En respuesta, los expertos en ciberseguridad recomiendan un enfoque proactivo e integral de defensa, que incluya copias de seguridad regulares de los datos, capacitación de los empleados en la detección de ataques de phishing y la implementación de sólidos marcos de ciberseguridad para mitigar los riesgos. Se insta a las organizaciones a compartir inteligencia sobre amenazas y colaborar con las fuerzas del orden para fortalecer su resiliencia ante las ciberamenazas en constante evolución.
Descubre cómo nuestro SOC as a Service puede detectar y prevenir ataques de ransomware antes de que causen estragos en tu organización. Nuestro equipo de expertos en ciberseguridad está dedicado a monitorear de forma continua cualquier actividad sospechosa en tus sistemas, identificar posibles amenazas y actuar de manera proactiva para proteger tus datos y tu infraestructura. ¡Contáctanos ahora y descubre cómo podemos fortalecer la seguridad de tu organización frente a las ciberamenazas en constante evolución!