El grupo de ransomware Hunters International, que operaba bajo el modelo Ransomware-as-a-Service (RaaS), anunció hoy que está cerrando sus operaciones y, sorprendentemente, ofrecerá herramientas de descifrado gratuitas para que las víctimas puedan recuperar sus archivos sin tener que pagar.
"Después de pensarlo mucho y considerando todo lo que ha pasado últimamente, hemos decidido poner fin al proyecto de Hunters International", compartió el grupo en un mensaje publicado en su sitio de filtraciones en la dark web. "No fue una decisión fácil, y entendemos el impacto que esto ha tenido en las organizaciones con las que nos cruzamos".
Además, en un inesperado giro, añadieron: "Como gesto de buena voluntad y para tratar de enmendar un poco el daño causado, estamos liberando software de descifrado gratuito para todas las empresas afectadas por nuestros ataques. Queremos que puedan recuperar sus datos sin tener que pagar ningún rescate".
Hunters International borra su rastro y redirige a sus víctimas
Además del anuncio de cierre, el grupo de ransomware Hunters International eliminó todas las entradas que tenía en su portal de filtraciones. Básicamente, han borrado cualquier rastro de las víctimas y operaciones pasadas. También informaron que las empresas cuyos sistemas fueron cifrados aún pueden solicitar herramientas de descifrado y recibir ayuda para recuperar sus datos a través de su sitio web oficial.
Aunque no detallaron exactamente a qué se refieren con los "desarrollos recientes" que motivaron esta decisión, su comunicado coincide con un anuncio anterior, publicado el 17 de noviembre, donde ya daban señales de que se estaban planteando cerrar debido al aumento de la presión por parte de las autoridades y a que el negocio, simplemente, ya no era tan rentable como antes.
Por otro lado, la firma Group-IB reveló en abril que el grupo estaba preparando un cambio de imagen. Dejarían atrás el cifrado de archivos como estrategia principal y pondrían el foco en el robo de datos y la extorsión directa. De hecho, ya habrían lanzado una nueva operación con un nombre diferente: World Leaks.
Anuncio de cierre de Hunters International (Fuente: BleepingComputer)
A diferencia de Hunters International, que combinaba el cifrado de archivos con la típica táctica de extorsión, el nuevo grupo World Leaks parece haber dejado atrás esa fórmula. Según explicaron, World Leaks funciona como una banda de extorsión pura, que usa una herramienta personalizada para robar datos antes de amenazar con hacerlos públicos. Esta nueva herramienta sería, de hecho, una versión mejorada del software que ya utilizaban los afiliados de Hunters para exfiltrar información.
Conoce más sobre: Nueva Táctica del Grupo Hunters International: Solo Robo y Extorsión
El ascenso de Ransomware Hunters International: De Hive a una de las bandas más activas
Para poner un poco de contexto: Hunters International apareció a finales de 2023 y, desde el primer momento, varios investigadores sospecharon que se trataba de un lavado de cara del grupo Hive, ya que compartían muchas similitudes en el código de su malware. Su software estaba diseñado para atacar todo tipo de sistemas, desde Windows, Linux y FreeBSD, hasta SunOS y servidores VMware (ESXi), y era compatible con arquitecturas x64, x86 y ARM.
Durante los últimos dos años, esta banda atacó a empresas de todos los tamaños, exigiendo rescates que iban desde cientos de miles hasta varios millones de dólares, dependiendo de la víctima. Se atribuyeron más de 300 ataques en todo el mundo, lo que los convirtió en uno de los grupos de ransomware más activos del panorama reciente.
Entre las víctimas más conocidas que ellos mismos reclamaron están nombres bastante importantes: el Servicio de Alguaciles de EE. UU., la empresa japonesa Hoya, Tata Technologies, el concesionario automotriz AutoCanada, el contratista naval Austal USA y la organización médica Integris Health, la mayor red de salud sin fines de lucro de Oklahoma.
Uno de sus ataques más impactantes fue en diciembre de 2024, cuando hackearon al Fred Hutch Cancer Center. En ese caso, amenazaron con filtrar datos médicos confidenciales de más de 800,000 pacientes con cáncer, a menos que se les pagara. Una situación delicada y ética, que generó bastante controversia en su momento.
Podría interesarte leer: Cómo detectar y responder a un ataque de ransomware con TecnetProtect
Conclusión
El cierre de Hunters International deja claro que, aunque algunos grupos de ransomware pueden desaparecer, las amenazas no se terminan. Aunque este grupo haya decidido desaparecer, hay muchos otros activos y cada vez más sofisticados. Para las empresas, esto significa que no se puede dejar la seguridad para después. Proteger la información y mantener todo en funcionamiento debe ser una prioridad.
Hoy en día, las empresas deben contar con soluciones completas de protección, respaldo y recuperación de datos, sin importar el tamaño de la organización. Herramientas como TecnetProtect, una solución de ciberseguridad robusta y confiable (con tecnología de Acronis), permiten a las empresas prevenir ataques, detectar amenazas en tiempo real y recuperar rápidamente su información ante cualquier incidente. Esto no solo minimiza el impacto económico, sino que asegura la continuidad del negocio frente a escenarios críticos.
Si estás al frente de un negocio, no esperes a que te pase algo para actuar. Proteger tu información ahora es mucho más fácil que lamentarse después. Con TecnetProtect, puedes tener la tranquilidad de que tu empresa está en buenas manos.