Hunters International : vos données sont la proie
Hunters International (Hunters) est l'un des rares groupes criminels dont le nom reflète exactement leur activité. Ils traquent vos données tels des chasseurs et opèrent à l'échelle internationale. Au moment où nous écrivons ces lignes, le groupe a réussi à compromettre des victimes dans 29 pays, et ce nombre ne comprend que les victimes confirmées. Plusieurs études sectorielles ont révélé que le nombre d'attaques par ransomware non signalées se situait entre 60 % et 80 %, laissant supposer que les chiffres sont plus élevés que ce que nous savons officiellement.
Il n'est pas rare que des groupes de ransomware ciblent des entreprises dans plusieurs pays, mais ce groupe est intéressant en ce sens qu'il cultive intentionnellement une activité internationale. Il s'agit d'un opérateur de ransomware-as-a-service (RaaS), et de nombreux opérateurs RaaS ont des affiliés dans plusieurs pays. Alors que l'on suppose que le « fief » du groupe Hunters est situé quelque part en Europe de l'Est et en Russie, on a remonté les traces de l'infrastructure et des activités du groupe en Asie, en Afrique du Sud et dans d'autres parties du monde. Cette distribution géographique complique la tâche aux forces de l'ordre qui parviennent plus difficilement à interrompre leurs activités, mais cela pose également des problèmes pour coordonner les opérations. Les fuseaux horaires, la sécurité opérationnelle et la régularité des attaques sont autant de facteurs pouvant affecter cette situation.
Naissance
Les activités de Hunters International ont été observées pour la première fois en octobre 2023 et à l’origine, on pensait que c'était le groupe Hive Ransomware qui avait été rebaptisé. Hive a été démantelé par les forces de l'ordre en janvier 2023 et n'est jamais réapparu sous ce nom. Lorsque Hunters International a émergé, les chercheurs ont constaté que 60 % de son code recoupait celui de Hive. C'est ce qui a été à l'origine des rumeurs de changement de nom, que Hunters a rapidement fait taire :
Hunters International nie toute affiliation avec Hive
En tant que « start-up RaaS » indépendante, l'achat du code et de l'infrastructure de Hive a permis à Hunters de lancer un système fonctionnel pour commencer à recruter des affiliés et à attaquer des cibles. Hunters a apporté de nombreuses améliorations au code de Hive, notamment :
- Correction de « plusieurs problèmes qui empêchaient parfois le déchiffrement des fichiers » dans la logique de chiffrement d'origine de Hive.
- Réduction des paramètres de la ligne de commande et simplification du processus de stockage des clés de chiffrement.
- Reconstruction du code en Rust, les versions antérieures de Hive ayant été écrites en C et Golang.
- Création d'options pour la personnalisation des extensions de fichiers, suppression des Volume Shadow Copies et spécification de la taille minimale des fichiers à chiffrer.
- Changement du type de chiffrement de ChaCha20-Poly1305 à une combinaison de chiffrements AES et RSA.
L'une des caractéristiques qui distinguent Hunters International, c'est que l'exfiltration des données est sa priorité absolue. Il se démarque de Hive et de nombreux autres groupes de ransomware qui utilisent vos données volées comme levier secondaire. Cette initiative de Hunters pourrait s'expliquer par le cassage du code de déchiffrement de Hive, mais il est tout aussi probable que Hunters ait compris que les données, c'est de l'argent. Soit vous payez pour les protéger, soit le groupe aura un produit à monétiser. De nombreux changements dans le code Hive ont été apportés pour s'adapter à cette nouvelle priorité.
Les développeurs de Hunters ont apporté plusieurs autres améliorations, mais les chercheurs continuent de détecter des défauts dans le code. Le groupe semble être l'un des plus groupes organisés les plus « professionnels » : il prend les affaires au sérieux. Le code recevra donc probablement des mises à jour et des améliorations continues.
En parlant de professionnels...
Hunters International semble avoir employé un concepteur d'interface utilisateur pour son site de leaks. La Malware Hunter Team a publié ces captures d'écran en novembre 2023 :
Site de fuite de Hunters International
Page de décryptage de Hunters International
Page de connexion de Hunters International
Si vous considérez les victimes comme des consommateurs (c'est écœurant, mais attendez que je vous explique), dites-vous que le design du site pourrait leur sembler plus rassurant pendant la transaction. Il est clairement destiné à être facile à utiliser et accessible. Il n'y a pas autant d'obstacles psychologiques ou techniques liés au paiement de la rançon lorsque le site créé à cet effet ressemble à un joli site d'e-commerce.
Le soin apporté au design du site pourrait également être intentionnel, pour impressionner des affiliés potentiels et se donner un air sophistiqué.
Fonctionnement des attaques du groupe Hunters
La chaîne d'infection commence généralement par un vecteur d'accès initial : e-mail de phishing, service RDP compromis, attaques contre la chaîne logistique, social engineering et application vulnérable destinée au public. Une fois la charge utile malveillante exécutée, le ransomware chiffre les fichiers et affiche une demande de rançon exigeant un paiement en cryptomonnaie. Les vecteurs d'accès initiaux couramment utilisés par le groupe comprennent l'exploitation des vulnérabilités des applications destinées au public et l'utilisation d'identifiants volés sur les services RDP.
Après l'obtention de l'accès initial, Hunters International utilise des outils légitimes pour mener à bien ses opérations. Ces outils comprennent des logiciels d'administration réseau, des frameworks de tests d'intrusion et des scripts personnalisés conçus pour échapper à la détection. Le groupe serait affilié à d'autres grands groupes lanceurs de ransomware : ils échangeraient des tactiques, des outils et parfois même du personnel.
Historique du groupe Hunters
Il n'y a pas grand-chose à dire sur Hunters, si ce n'est qu'il prétend être un groupe indépendant sans affiliation avec Hive. Alors, tournons notre attention vers Hive et voyons où cela nous mène.
Hive a fait surface en juin 2021 et a mené plusieurs attaques très médiatisées en décembre de la même année. Les forces de l'ordre ont commencé à se focaliser davantage sur ce groupe en janvier 2022, mais il a fallu attendre un an avant que Hive ne soit démantelé. Pendant sa période d'activité, Hive a ciblé plus de 1 300 entreprises dans le monde entier et collecté environ 100 millions de dollars de rançons.
Hive présente plusieurs similitudes avec d'autres groupes de ransomware :
TTP |
Hive |
Conti |
REvil |
DarkSide |
Accès initial |
Phishing, VPN |
Phishing, RDP |
Phishing, exploits |
Phishing, RDP |
Déplacement latéral |
Cobalt Strike |
Cobalt Strike |
Cobalt Strike |
Cobalt Strike |
Persistance |
Scripts personnalisés |
Scripts personnalisés |
Outils personnalisés |
Scripts personnalisés |
Exfiltration de données |
Double extorsion |
Double extorsion |
Double extorsion |
Double extorsion |
Demandes de rançons |
Variables, élevées |
Variables, élevées |
Variables, élevées |
Variables, élevées |
Ces similitudes suggèrent que Hive portait auparavant un autre nom ou qu'il est la continuation d'un autre groupe, mais ce ne sont que des spéculations.
Comme Hunters a acheté les ressources de Hive, il est logique d'observer des similitudes entre ces deux groupes. Mais qu'en est-il de Hunters et de Medusa ?
Le groupe Medusa est découvert début 2021 et connaît une année très active marquée par de nombreuses attaques réussies et très médiatisées. Fin 2022, l'activité diminue. En décembre, on spécule que le groupe aurait été dissous. Voici quelques similitudes entre Medusa et Hunters :
- Langues principales : Les deux groupes utilisent principalement le russe et l'anglais pour communiquer.
- Méthodes d'accès initial : Les deux groupes utilisent le phishing et les exploits RDP pour obtenir un accès initial.
- Exfiltration de données : Les deux groupes utilisent des tactiques de double extorsion, bien que Medusa ait tendance à exposer publiquement les données exfiltrées de manière plus agressive.
- Systèmes de communication : Les deux groupes utilisent des services de messagerie chiffrés et des forums du dark web.
- Industries cibles : Les deux groupes ciblent des secteurs à forte valeur ajoutée tels que la santé, la finance et l'éducation.
- Portée mondiale : On observe chez les deux groupes des opérations mondiales étendues.
- Évolution des tactiques : Les deux groupes améliorent continuellement leurs tactiques, bien que Medusa soit généralement plus agressif.
- Exposition publique : Les deux groupes rendent les demandes de rançon publiques et humilient les victimes, Medusa employant des tactiques plus agressives.
Il existe des similitudes significatives entre Hunters et Medusa. Cela ne signifie pas que Hunters est composé d'anciens membres de Medusa, mais ces deux groupes peuvent clairement facilement partager des codes et des tactiques entre eux. Il est parfois difficile de faire la différence entre les deux.
Protégez votre entreprise
Le site web Stop Ransomware de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis peut vous aider à prévenir les attaques par ransomware. Vous devriez consulter ce site pour vous informer sur les communications d'urgence, les mauvaises pratiques et la réponse appropriée à apporter aux attaques par ransomware. Assurez-vous également de suivre les bonnes pratiques standard : sauvegardez régulièrement vos données et gérez les correctifs en temps opportun.
Barracuda offre une protection complète contre les ransomwares et propose l’une des plateformes de cybersécurité les plus complètes du marché. Consultez notre site web pour en savoir plus sur la façon dont nous protégeons les messageries électroniques, les réseaux, les applications et les données.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
