Hunters International 勒索组织宣布关闭，重塑品牌为 World Leaks 专注数据勒索

2025年7月4日，活跃近两年的勒索即服务（RaaS）组织 Hunters International 正式宣布关闭。据称，该组织是 2023 年 1 月被国际执法行动瓦解的臭名昭著 Hive 勒索团伙的“继承者”或“变种”，曾通过“双重勒索”战术对全球多家机构发起攻击 —— 即加密数据+威胁公开数据的手法。

然而，安全研究人员表示，这并非真正意义上的“退出江湖”，而是战略性转型的一部分。目前该组织已改名为 World Leaks，并停止加密行为，转而专注于纯数据窃取与勒索。

攻击记录与影响概述

据 Comparitech 调查，Hunters International 共确认发起 55 起成功勒索攻击，另有 199 起尚未核实的入侵事件。这些攻击至少导致 325 万条个人记录被泄露。

• 医疗卫生行业 受影响最严重：涉及 2.9 百万条记录，涵盖19起对医院及诊所的攻击。

• 制造企业 是商业攻击中最频繁的目标（12起）。

• 政府机关 与 教育机构 也未能幸免，分别确认遭遇16起与2起攻击。

知名受害者包括：

• Fred Hutchinson 癌症中心（美国，184 万人数据泄露，2023年11月）

• Omni Family Health（美国，46 万人数据泄露，2024年8月）

• Arisa Health（美国，37.5 万人数据泄露，2024年3月）

令人震惊的是，Hunters International 曾主动联系 Fred Hutchinson 的病人，要求他们支付 50 美元赎金以删除其个人数据。

2024年11月一个月内，该组织共勒索 24家机构，几乎做到“日攻一企”，其中包括美国10起、英国2起、欧盟7起、南美3起、亚洲2起。

品牌转型为 World Leaks

威胁情报公司 Group-IB 于 2025年4月确认，Hunters International 正在逐步更名为 World Leaks。与传统勒索软件团伙不同，World Leaks 完全放弃“加密”操作，不再属于“勒索软件（ransomware）”范畴，而是变为纯粹的数据勒索组织。

Comparitech 的数据研究主管 Rebecca Moody 表示，这种转型背后并非良心发现，而是“向更有利润空间的数据交易方向转型”。她指出，“World Leaks 不是一个勒索‘软件’团伙，因为它已经不包含‘ware’（加密模块）。”

据统计，World Leaks 已声称对 33 起攻击事件负责，其中包括：

• Chain IQ（瑞士）

• Freedom Healthcare（美国科罗拉多州）

此外，Hunters International 宣布将向 尚未支付赎金的被害机构免费提供解密工具。不过 Moody 指出，许多受害者在攻击发生后已自行恢复系统，该举措更像是一种“象征性操作”。

评估与趋势预判

• 双重勒索变三重威胁：加密+泄露+直接骚扰个人用户（如联系患者）逐渐常态化。

• RaaS→DaaS（Data-as-a-Service）：World Leaks 模式可能引领勒索业务从工具服务（软件）转向“数据为王”的新阶段。

• 医疗与制造业高危：医疗数据因高度敏感与时效性，仍是攻击首选。