勒索新趋势 | Hunters International猎人国际勒索团伙分析报告

勒索组织新趋势：不再投放勒索信

了解勒索软件及存储软件工具的技术细节，犯罪分子如何利用联盟面板，以及Hunters International勒索团伙从崛起到运营终结的全过程。

关键词：敲诈、Hive、Hunters International、勒索软件、World Leaks

引言

2023年底至2024年全年，勒索软件即服务（RaaS）生态系统遭受了一系列影响网络犯罪供应链的重大事件冲击。这包括犯罪分子的逮捕以及执法行动，如针对僵尸网络和窃密器基础设施的Endgame、Morpheus和Magnus行动。这些基础设施常被勒索团伙的附属机构用于初始入侵及后续利用。

此外，包括美国国会和澳大利亚议会在内的政府机构发布了网络安全法案，讨论将勒索团伙列为恐怖组织的可能性，并强制要求报告勒索支付。这些行动对RaaS生态系统造成重大影响，迫使附属机构和运营商调整攻击策略。

尽管面临挑战，根据Group-IB的《2025年高科技犯罪趋势报告》，2024年数据泄露网站（DLS）披露事件同比增长10%，但Chainalysis报告显示勒索支付同比下降35%，而仅外泄数据攻击的支付率在2024年第四季度上升41%（Coveware报告）。

本文关键发现

• Hunters International可能于2023年10月开始运营。
• 前Hive运营商可能参与Hunters International管理。
• 运营商计划关闭项目并更名为World Leaks——转型为纯数据外泄勒索。
• 该团伙提供开源情报（OSINT）服务，通过电话、邮件、社交媒体等多渠道勒索受害者。
• 勒索软件支持x64、x86、ARM架构及Windows、FreeBSD、SunOS和Linux（含ESXi）。
• 自v6版本起，勒索软件不再重命名加密文件或投放勒索信。
• Hunters International提供Storage Software工具，收集外泄文件元数据并发送至服务器。
• 该工具在攻击者主机与团伙面板间建立桥梁，受害者可通过面板下载/删除被窃数据。
• Storage Software通过SOCKSv5代理通信，支持Windows和Linux。
• Group-IB威胁情报分析发现Hunters International、Lynx和INC Ransom存在基础设施相似性，但无直接关联证据。

目标读者：

• 网络安全分析师与企业安全团队
• 恶意软件分析师
• 威胁情报专家
• 网络调查人员
• 计算机应急响应团队（CERT）
• 执法调查人员
• 网警

崛起

Hunters International的故事始于2023年10月13日，其数据泄露网站（DLS）首次披露一家英国公司。一周后（10月20日），安全研究人员在X平台分享了首个Windows版勒索软件样本（VirusTotal提交记录）。10月21日，管理员在联盟面板发布首条运营规则。由此推测，Hunters International正式启动于2023年10月。

猎人国际是谁

早期分析指出，Hunters International的勒索软件与2023年初被执法行动捣毁的Hive团伙存在相似性。尽管该团伙在DLS声明中称其购买了Hive的源代码（包括Web应用和勒索软件），但地下论坛用户常称其为"хайв"（Hive的俄语），且前Hive运营者的联系方式被用于接触Hunters International成员。因此，Group-IB评估认为Hunters International很可能是Hive的变种。

猎人的目标

如图3所示，该团伙宣称"加密并非主要目的"。结合联盟面板功能，我们认为其核心目标是数据外泄。

受害者分析

2024年2月2日，该团伙声明禁止攻击以色列、土耳其、远东及独联体国家。然而，DLS仍可见中国、土耳其、新加坡、日本等地区的受害者。类似Black Suit、Qilin、RansomHub等团伙，Hunters International也瞄准医疗行业——2024年针对医疗机构的攻击显著增加，因关键服务提供者支付赎金的可能性更高。

联盟面板

该面板设计体现强烈的商业导向，涵盖目标创建、数据披露、赎金谈判到支付的完整流程。虽无勒索软件构建器，但可通过命令行参数调整进程终止、网络共享加密等功能。

除常规版块外，面板提供自研工具Storage Software，用于收集外泄文件元数据并发送至服务器，使受害者和攻击者能有序查看文件。

目标创建

登录面板后，攻击者需注册目标公司（包括营收、股票等信息），随后获得勒索软件、Storage Software及受害者聊天凭证。

数据加密

注册目标后，攻击者可下载支持x64/x86/ARM架构及Windows/Linux/FreeBSD/SunOS的勒索软件。自v6版本起，勒索软件不再重命名文件或投放勒索信（类似LockBit 4和Lynx的最新策略），减少内部人员知晓攻击的可能性。

公司确认

确认入侵行为（数据外泄、加密、邮件列表）后，攻击者可下载Storage Software，并解锁Disclosures和Mailing List功能。后者可能用于向受害者合作伙伴发送批量邮件施压。

Storage Software

该工具支持Windows/Linux系统及x86/x64架构，索引指定目录文件元数据并通过TLS发送至Tor服务。受害者可通过面板下载/删除存储在攻击者主机的数据，工具需持续运行以维持连接。

文件实际存储于攻击者主机，Hunters International仅索引元数据。支付赎金后，受害者可通过面板操作数据，这种模式降低了因团伙退出骗局导致数据丢失的风险。

新闻版块：Hunters International的演变

本节梳理面板公告中的关键事件，揭示勒索软件及Storage Software的演变历程、基础设施安全问题及运营者对行业趋势的见解。

勒索软件

2024年勒索软件版本从v4演进至v6。v5.1.0（2024年8月5日）新增自动挂载未挂载分区及DLL形态勒索软件功能，通过regsvr32.exe执行（T1218.010），与LockBit、Black Suit等团伙手法类似。

不再投放勒索信

2024年8月14日公告解释不再重命名文件及投放勒索信的原因：知情人越多，支付可能性越低。类似微软报告的LockBit 4"静默模式"，Hunters International转向直接联系CEO/IT团队施压。

Storage Software更新

2023年11月3日公告指导工具使用，面板功能类似暗网论坛的中介担保。2024年3月5日，基础设施遭攻击导致披露量骤降，3月12日及27日发布工具更新。

类似攻击尝试

2024年2月4日，团伙称检测到针对所有Tor域名的TLS证书欺骗攻击，但未影响运营。

其他事件

新闻版块还包含OSINT服务、媒体动态等信息。2024年3月13日公告显示，第三方合作提供高管及亲属情报，用于多渠道勒索。8月7日分享SharpRhino RAT相关报道，提示攻击者可能使用多样化工具。

Hunters International的终结？

2024年11月17日公告宣布项目终结，称因政府打击及地缘政治导致风险升高、利润下降。但几周后重新运营，并于2025年1月推出纯外泄勒索项目World Leaks。

品牌重塑

World Leaks放弃加密，专注数据外泄，提供自研外泄工具。初期因漏洞暂停，现已恢复运营但无DLS披露。

勒索软件技术细节

该勒索软件使用Rust开发，支持x64/x86/ARM架构及Windows/Linux/FreeBSD/SunOS系统，提供命令行参数控制执行（包括延迟反分析、主机/共享枚举等）。v6版本起不再修改文件扩展名或投放勒索信，加密文件前0x41字节，使用AES加密（每文件随机128位密钥），加密密钥写入文件尾部。

Windows版

提供EXE/DLL格式，可指定参数加密特定文件/目录/驱动器/网络共享，擦除空闲空间（存在栈溢出漏洞）。执行时显示调试控制台，删除卷影副本/备份目录，终止进程/服务（默认列表可调整），枚举AD域设备及网络共享。

Unix-like版

Linux（x64/x86/arm64）、FreeBSD（x64/x86）、SunOS版本功能较简单，需指定加密路径。ESXi版默认加密/vmfs/volumes/，可停止运行中的虚拟机。

网络基础设施

为扩大DLS影响力，团伙注册多个明网域名（如huntersinternational[.]su），部分IP与Lynx、INC Ransom共享同一抗投诉主机（AS214822），但无直接关联证据。Tor服务遵循hunters33...（在线聊天）、hunters55...（DLS+Storage）、hunters77...（联盟面板）模式。

域名与IP地址：

结论

威胁情报分析揭示了Hunters International运营者的成熟度：能根据全球事件调整策略，其面板信息为防御者理解勒索趋势提供独特视角。据《2025年高科技犯罪趋势报告》，执法行动导致逮捕、政府制裁及赎金支付禁令促使勒索团伙转向关键基础设施。趋势表明，勒索软件将更隐蔽（如无勒索信），外泄仅攻击增多（如World Leaks）。

常见问题

1. 什么是Hunters International？疑似Hive勒索团伙变种，2023年10月出现，侧重数据外泄。

2. 主要攻击手法？双重勒索转向外泄为主，OSINT多渠道施压。

3. 首次发现时间？2023年10月13日DLS首例披露，10月19日样本提交VT。

4. 如何施压受害者？外泄数据后，若谈判失败，通过电话/邮件/社交平台联系高管。

5. 攻击目标？主要北美、欧洲、亚洲的房地产、医疗、专业服务行业，虽声明禁攻特定地区仍有泄露。

6. 受影响系统？支持Windows、Linux、FreeBSD、SunOS、ESXi，x64/x86/ARM架构。

7. 如何规避检测？Tor代理、剥离字符串、无勒索信、OSINT精准施压。

8. 是否仍在活跃？2024年11月宣布关闭，但后续重启，2025年转型World Leaks纯外泄。

9. World Leaks有何不同？放弃加密，专注数据外泄，提供自动化外泄工具。

10. 未来趋势？外泄仅攻击增加，勒索软件更隐蔽（如无勒索信）。

文章有删减

• 参考：https://www.group-ib.com/blog/hunters-international-ransomware-group/