Ist Ihre Organisation vor Hunters International Ransomware sicher?

Der Ursprung von Hunters International ransomware

Hunters International tauchte Ende 2023 auf, was Branchenexperten als einen Versuch identifizierten, den Code ransomware einer zuvor stillgelegten Cybercrime-Organisation wiederzubeleben. Dieser Code wurde ursprünglich von Hive verwendet, einer zerstörerischen Operation, die mehr als 100 Millionen Dollar von etwa 1.500 Opfern erpresst hat.

Kurz nachdem das FBI Hive gestoppt hatte, gaben die Betreiber ihren Code an eine neue Gruppe namens Hunters International weiter. Die Weitergabe wurde von Sicherheitsforschern entdeckt, nachdem eine Reihe neuer ransomware -Samples aufgetaucht war, die bemerkenswert ähnlichen Quellcode verwendeten.

Seitdem hat die Gruppe erfolgreich Opfer in mindestens zwei Dutzend Ländern kompromittiert.

^Quellen:^TechCrunch^,^{U.S. Department of Justice}^,^Bitdefender

Ziele

Hunters Ransomware's Ziele

Zielländer der Hunters Ransomware Group

Wie der Name schon vermuten lässt, hat es Hunters International auf Organisationen in aller Welt abgesehen. Nach der letzten Zählung hat die Gruppe Opfer in etwa 30 Ländern kompromittiert. Von Kanada bis Neuseeland werden Organisationen eher wegen ihrer Anfälligkeit und der Wahrscheinlichkeit, Lösegeld zu zahlen, als wegen ihres Standorts angegriffen. Bislang wurden die meisten Opfer von Hunters International in den Vereinigten Staaten verzeichnet.

^Quellen:^{HIPAA-Journal}^,^{Ransomware.live}

Zielbranchen der Hunters Ransomware Group

Zu den Opfern von Hunters International gehören Unternehmen aus einer Vielzahl von Branchen, vom Gesundheitswesen über das verarbeitende Gewerbe bis hin zum Finanz-, Bildungs- und Automobilsektor. Diese wahllose Vorgehensweise bedeutet, dass die Gruppe ein erhebliches Risiko für Organisationen aller Größen und Branchen darstellt.

Zielbranchen der Hunters Ransomware Group

Zu den Opfern von Hunters International gehören Unternehmen aus einer Vielzahl von Branchen, vom Gesundheitswesen über das verarbeitende Gewerbe bis hin zum Finanz-, Bildungs- und Automobilsektor. Diese wahllose Vorgehensweise bedeutet, dass die Gruppe ein erhebliches Risiko für Organisationen aller Größen und Branchen darstellt.

Jäger Ransomware's Opfer

Bis heute sind 231 Opfer den Hunters International ransomware zum Opfer gefallen.

^Quelle:^{Ransomware.live}

Angriffsmethode

Jäger Ransomware Angriffsmethode

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Hunters International verschafft sich in der Regel mit Social-Engineering- und phishing -Kampagnen Zugang, um Mitarbeiter zum Herunterladen und Ausführen von bösartigen Dateien zu verleiten. Die Gruppe ist auch dafür bekannt, das Remote Desktop Protocol (RDP) zu nutzen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

In einigen Fällen gibt sich Hunters International als legitime Port-Scan-Programme aus, um malware zu installieren und Zugang zu IT-Mitarbeitern zu erhalten. Sobald die Gruppe in das Netzwerk eingedrungen ist, gewährt sie sich selbst höhere Verwaltungsrechte.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Hunters International entzieht sich der Entdeckung, indem es scheinbar legitime Methoden verwendet, um sich Zugang zu verschaffen und sich seitlich zu bewegen.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Hunters International ransomware ist in Rust geschrieben, einer Sprache, die für ihre Widerstandsfähigkeit gegen Reverse Engineering und ihre robuste Kontrolle über Low-Level-Ressourcen bekannt ist.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

malware verschlüsselt Dateien mit einer Kombination aus verschiedenen Chiffren und bettet den verschlüsselten Schlüssel in jede Datei ein. Dieser Ansatz vereinfacht den Entschlüsselungsprozess für die Opfer, die das Lösegeld zahlen, und erschwert gleichzeitig die Bemühungen zur Bekämpfung der malware.

‍

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Hunters International war für erhebliche Datenschutzverletzungen, finanzielle Verluste und eine dauerhafte Schädigung des Markenrufs verantwortlich.

Erster Zugang

Hunters International verschafft sich in der Regel mit Social-Engineering- und phishing -Kampagnen Zugang, um Mitarbeiter zum Herunterladen und Ausführen von bösartigen Dateien zu verleiten. Die Gruppe ist auch dafür bekannt, das Remote Desktop Protocol (RDP) zu nutzen.

Rechte-Eskalation

In einigen Fällen gibt sich Hunters International als legitime Port-Scan-Programme aus, um malware zu installieren und Zugang zu IT-Mitarbeitern zu erhalten. Sobald die Gruppe in das Netzwerk eingedrungen ist, gewährt sie sich selbst höhere Verwaltungsrechte.

Verteidigung Umgehung

Hunters International entzieht sich der Entdeckung, indem es scheinbar legitime Methoden verwendet, um sich Zugang zu verschaffen und sich seitlich zu bewegen.

Zugang zu Anmeldeinformationen

Entdeckung

Seitliche Bewegung

Sammlung

Ausführung

Hunters International ransomware ist in Rust geschrieben, einer Sprache, die für ihre Widerstandsfähigkeit gegen Reverse Engineering und ihre robuste Kontrolle über Low-Level-Ressourcen bekannt ist.

Exfiltration

malware verschlüsselt Dateien mit einer Kombination aus verschiedenen Chiffren und bettet den verschlüsselten Schlüssel in jede Datei ein. Dieser Ansatz vereinfacht den Entschlüsselungsprozess für die Opfer, die das Lösegeld zahlen, und erschwert gleichzeitig die Bemühungen zur Bekämpfung der malware.

‍

Auswirkungen

Hunters International war für erhebliche Datenschutzverletzungen, finanzielle Verluste und eine dauerhafte Schädigung des Markenrufs verantwortlich.

MITRE ATT&CK Kartierung

Von Jägern verwendete TTPs Ransomware

TA0001: Initial Access

No items found.

TA0002: Execution

T1106

Native API

T1129

Shared Modules

TA0003: Persistence

T1547

Boot or Logon Autostart Execution

TA0004: Privilege Escalation

T1547

Boot or Logon Autostart Execution

TA0005: Defense Evasion

T1027

Obfuscated Files or Information

T1562

Impair Defenses

TA0006: Credential Access

No items found.

TA0007: Discovery

T1083

File and Directory Discovery

T1082

System Information Discovery

T1057

Process Discovery

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

No items found.

TA0040: Impact

T1486

Data Encrypted for Impact

Plattform-Detektionen

Wie man Jäger aufspürt Ransomware mit Vectra AI

Tausende von Unternehmen verlassen sich auf leistungsstarke KI-gestützte Erkennungsfunktionen, um Angriffe zu erkennen und zu stoppen - bevor sie von einer Lösegeldforderung getroffen werden.

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Weitere Entdeckungen anzeigen

Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Was ist Hunters Ransomware?

Hunters International ist ein ransomware-as-a-service (RaaS) Unternehmen, das Ende 2023 gegründet wurde. Es ist dafür bekannt, dass es eine breite Palette von Branchen auf der ganzen Welt ins Visier nimmt.

‍

Was ist die Verbindung zwischen Hunters International und Hive Ransomware?

Hive war eine ransomware Gruppe, die Ende 2023 vom FBI ausgeschaltet wurde. Kurz nach der Unterbrechung ihrer Operationen stellten Sicherheitsforscher eine Übereinstimmung zwischen dem Code von Hive und dem Code einer neuen ransomware Gruppe namens Hunters International fest. Dies führte zu der Theorie, dass Hive seine Vermögenswerte an Hunters International verkauft hat.

‍

Welche Techniken verwendet Hunters International, um Organisationen zu kompromittieren?

Hunters International wendet eine doppelte Erpressungsstrategie an, bei der Datenverschlüsselung mit Datenexfiltration kombiniert wird. Sie drohen damit, gestohlene Daten auf ihrer Datenleckseite zu veröffentlichen, wenn die Lösegeldforderungen nicht erfüllt werden.

Welchen Code verwendet Hunters International?

Hunters International ransomware ist in der Programmiersprache Rust geschrieben, die für ihre Effizienz und ihre Sicherheitsfunktionen bekannt ist. Insbesondere hat die Gruppe den Verschlüsselungsprozess rationalisiert, indem sie Verschlüsselungsschlüssel in verschlüsselte Dateien einbettet und dabei eine Kombination von Verschlüsselungsmethoden verwendet.

‍

Welche Branchen sind die Zielgruppen von Hunters International?

Hunters International verfolgt einen diskriminierungsfreien Ansatz und hat sich an Unternehmen in verschiedenen Sektoren gewandt, darunter das Gesundheitswesen, die Automobilindustrie, das verarbeitende Gewerbe, die Logistik, das Finanzwesen, das Bildungswesen und die Lebensmittelindustrie.

Welche Länder sind das Ziel von Hunters International?

Hunters International hat, wie der Name schon sagt, eine globale Reichweite. Es wurden Opfer in Frankreich, Deutschland, Australien, Brasilien, Kanada, Japan, Namibia, Neuseeland, Spanien, dem Vereinigten Königreich und den Vereinigten Staaten identifiziert - und in vielen weiteren Ländern. Diese opportunistische Angriffsstrategie unterstreicht, dass sie sich auf die Ausnutzung von Schwachstellen in einer Vielzahl von Branchen und Regionen konzentrieren.

Was sind die Folgen eines Angriffs von Hunters International?

Die Opfer von Hunters International erleiden erhebliche Verluste, sowohl in finanzieller Hinsicht als auch in Bezug auf ihren Ruf. Ein Beispiel: Im September 2024 übernahm Hunters International die Verantwortung für einen Einbruch in die Londoner Filiale der Industrial and Commercial Bank of China (ICBC). Die Gruppe stahl mehr als 5,2 Millionen Dateien und erbeutete 6,6 TB an Daten.

Wie können Unternehmen Angriffe von Hunters International erkennen und darauf reagieren?

Unternehmen können ihre Erkennungs- und Reaktionsfähigkeiten verbessern, indem sie eine starke KI-gesteuerte Plattform zur Erkennung von Bedrohungen implementieren. Dadurch erhalten die SOC-Teams die Informationen, die sie benötigen, um die Aktivitäten von ransomware in Echtzeit zu finden und zu stoppen.

‍

Wie lässt sich ein Angriff von Hunters International am besten verhindern?

Um die Bedrohung durch Hunters International und ähnliche Gruppen ransomware einzudämmen, sollten Cybersicherheitsexperten regelmäßige Backups durchführen, Mitarbeiter darin schulen, phishing Angriffe zu erkennen, und sicherstellen, dass alle Systeme und Software mit den neuesten Patches aktualisiert werden. Darüber hinaus helfen KI-gesteuerte Erkennungsfunktionen dabei, Angreifer nach der Kompromittierung zu identifizieren, bevor sie ransomware starten können.

Wie viele Organisationen haben bereits von Hunters International profitiert?

Bei der letzten Zählung waren 231 Organisationen von Hunters ransomware angegriffen worden. Darunter sind 123 Angriffe allein in den USA.

Ist Ihre Organisation vor Hunters International Ransomware sicher?

Bewerten Sie Ihr Angriffsrisiko