Hunters International 勒索团伙究竟何许人?

admin 2024年9月13日02:15:00评论151 views字数 1934阅读6分26秒阅读模式
2023年10月,一个名为Hunters International的勒索团伙浮出了水面,因其恶意软件代码与同年1月已宣告被破获的Hive团伙有着超过60%的相似度,一度被认为是Hive团伙的翻版。不过,Hunters International否认了与Hive团伙之间的关联。
但与Hive相比,该团伙更是有过之而无不及,在不到一年的时间里接连发起多起网络入侵,多家国际知名机构惨遭毒手。并且在勒索策略上,Hunters International勒索团伙采取了多重勒索,多为先窃取数据,再对其加密,威胁受害者如不支付赎金将公开这些数据。这种勒索方式加剧了受害者支付赎金的紧迫感,因为不仅有数据加密造成的损失,还有数据泄露的潜在风险。
在勒索攻击手法上,Hunters International主要针对Windows和Linux环境加密文件,并在数据外泄后添加.LOCKED扩展名。该组织通过其数据泄露网站(DLS)对受害者进行分类,利用虚假身份注册域名以掩盖真实身份。此外,攻击者还利用Onion Location Framework来增强其在暗网的可见性,显示出其组织化的攻击策略。

从该团伙在其公网上公布的受害者信息来看,截至当前总共受害者177家,主要勒索的地区分布在美国、欧洲和亚洲,其中134家数据被加密,高达165家企业的数据被盗走。

Hunters International 勒索团伙究竟何许人?

近期该组织公布的相关攻击事件

  • 2024910日,马来西最大的伊斯合作Bank Rakyat被勒索。

  • 20247月,昆士兰会计务所Gibbs Hurley Chartered Accountants被勒索,公司专门为中小企和高净值个人提供税务老金合

Hunters International 勒索团伙究竟何许人?
  • 2024年4月10日,美国保险代理机构Inszone Insurance Services被勒索。

Hunters International 勒索团伙究竟何许人?
  • 2024年2月,美国通信联邦信用合作社(Communication Federal Credit Union)被勒索。

Hunters International 勒索团伙究竟何许人?

团伙画像

特点
描述
团伙名称
Hunters International
别名
关联团伙
Hive
活跃时间
2023.10-至今
勒索平台
Windows
攻击行业
健康、汽车、制造、物流、金融、教育、食品
攻击地区
英国、美国、阿联酋、加拿大、中国
RaaS模式
窃取文件
是否解密和相关工具
支付方式和赎金金额
未知
勒索后缀
.LOCKED
勒索信
Contact Us.txt
勒索邮箱
[email protected]
[email protected]
泄露地址
huntersinternational.org
huntersinternational.net
hunters33dootzzwybhxyh6xnmumopeoza6u4hkontdqu7.onion(已失效)
hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion
hunters55atbdusuladzv7vzv6a423bkh6ksl2uftwrxyuarbzlfh7yd.onion
hunters33dootzzwybhxyh6xnmumopeoza6u4hkontdqu7awnhmix7ad.onion

ATT&CK攻击模型

战术
技术ID
技术
描述
初始访问
T1078
有效账户
勒索组织使用了被泄露的电子邮件地址和密码来访问受害者的系统。这些凭据可能来自于之前的数据泄露事件,例如LinkedIn、Twitter等。
防御规避
T1070.004
指标移除: 文件删除
勒索组织会删除日志文件和其他痕迹,以避免被检测和追踪。
发现
T1083
文件和目录发现
勒索组织会扫描受害者系统中的文件和目录,以识别有价值的数据进行窃取。
命令与控制
T1071.001
应用层协议: Web协议
勒索组织使用了一个名为“Onion Location Framework”的服务来支持暗网域名。这种技术可以帮助他们隐藏真实的IP地址和位置。
T1090.003
代理: 多级代理
勒索组织使用多跳代理来隐藏其真实位置和活动,从而增加追踪难度。
数据窃取
T1567
通过 Web 服务进行渗透
勒索组织通过其数据泄露网站(Data Leak Site)将被盗数据上传并公开,以施加压力迫使受害者支付赎金。
破坏
T1486
加密数据以产生影响
Hunters International勒索软件在完成数据窃取后,会将受害者机器上的文件加密,并添加.LOCKED扩展名。
目前,微步情报局仍然在对Hunters International团伙及相关入侵事件持续跟踪,用户可随时关注后续进展。

- END -

原文始发于微信公众号(微步在线研究响应中心):Hunters International 勒索团伙究竟何许人?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月13日02:15:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Hunters International 勒索团伙究竟何许人?https://cn-sec.com/archives/3160753.html

发表评论

匿名网友 填写信息