Votre organisation est-elle à l'abri du ransomware de Hunters International ?

L'origine du ransomware Hunters International

Hunters International est apparu à la fin de l'année 2023 dans ce que les experts du secteur ont identifié comme une tentative de ranimer le code d'un ransomware provenant d'une organisation cybercriminelle précédemment fermée. Ce code était à l'origine utilisé par Hive, une opération destructrice qui a extorqué plus de 100 millions de dollars à quelque 1 500 victimes.

Peu de temps après que le FBI a mis fin aux activités de Hive, ses opérateurs ont transmis leur code à un nouveau groupe appelé Hunters International. Ce transfert a été découvert par des chercheurs en sécurité à la suite d'une vague de nouveaux échantillons de ransomware utilisant un code source remarquablement similaire.

Depuis, le groupe a réussi à compromettre des victimes dans au moins deux douzaines de pays.

^{Sources :}^TechCrunch^,^{Département de la justice des États-Unis}^,^Bitdefender

Cibles

Les cibles du ransomware Hunters

Pays ciblés par le groupe Hunters Ransomware

Comme son nom l'indique, Hunters International cible des organisations du monde entier. Aux dernières nouvelles, le groupe a compromis des victimes dans une trentaine de pays. Du Canada à la Nouvelle-Zélande, les organisations sont ciblées davantage pour leur vulnérabilité et leur propension à payer une rançon que pour leur localisation. À ce jour, c'est aux États-Unis que le nombre de victimes de Hunters International est le plus élevé.

^{Sources :}^{HIPAA Journal}^,^{Ransomware.live}

Secteurs d'activité ciblés par le groupe Hunters Ransomware

Les victimes de Hunters International sont des organisations issues d'un large éventail de secteurs, allant de la santé à l'industrie, en passant par la finance, l'éducation et l'automobile. Ce style aveugle signifie que le groupe représente un risque important pour les organisations de toutes tailles et de tous secteurs.

Secteurs d'activité ciblés par le groupe Hunters Ransomware

Les victimes de Hunters International sont des organisations issues d'un large éventail de secteurs, allant de la santé à l'industrie, en passant par la finance, l'éducation et l'automobile. Ce style aveugle signifie que le groupe représente un risque important pour les organisations de toutes tailles et de tous secteurs.

Les victimes de Hunters Ransomware

À ce jour, 231 personnes ont été victimes du ransomware de Hunters International.

^{Source :}^{Ransomware.live}

Méthode d'attaque

Méthode d'attaque du ransomware Hunters

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Hunters International obtient généralement l'accès à l'aide de campagnes d'ingénierie sociale et de phishing conçues pour inciter les employés à télécharger et à exécuter des fichiers malveillants. Le groupe est également connu pour son utilisation du protocole de bureau à distance (RDP).

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Dans certains cas, Hunters International se fait passer pour un programme légitime de balayage des ports afin d'installer malware et d'obtenir l'accès des employés du service informatique. Une fois à l'intérieur du réseau, le groupe s'octroie des niveaux d'accès administrateur plus élevés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Hunters International échappe à la détection en utilisant des méthodes apparemment légitimes pour obtenir un accès et se déplacer latéralement.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Le ransomware de Hunters International est écrit en Rust, un langage réputé pour sa résistance à la rétro-ingénierie et son contrôle rigoureux des ressources de bas niveau.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Le site malware chiffre les fichiers à l'aide d'une combinaison de différents algorithmes de chiffrement, en intégrant la clé chiffrée dans chaque fichier. Cette approche simplifie le processus de décryptage pour les victimes qui paient la rançon tout en compliquant les efforts pour contrer le malware.

‍

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Hunters International a été responsable d'importantes violations de données, de pertes financières et d'atteintes durables à la réputation de la marque.

Accès Initial

Hunters International obtient généralement l'accès à l'aide de campagnes d'ingénierie sociale et de phishing conçues pour inciter les employés à télécharger et à exécuter des fichiers malveillants. Le groupe est également connu pour son utilisation du protocole de bureau à distance (RDP).

Élévation de privilèges

Dans certains cas, Hunters International se fait passer pour un programme légitime de balayage des ports afin d'installer malware et d'obtenir l'accès des employés du service informatique. Une fois à l'intérieur du réseau, le groupe s'octroie des niveaux d'accès administrateur plus élevés.

Défense Evasion

Hunters International échappe à la détection en utilisant des méthodes apparemment légitimes pour obtenir un accès et se déplacer latéralement.

Accès aux identifiants

Découverte

Mouvement latéral

Collection

Exécution

Le ransomware de Hunters International est écrit en Rust, un langage réputé pour sa résistance à la rétro-ingénierie et son contrôle rigoureux des ressources de bas niveau.

Exfiltration

Le site malware chiffre les fichiers à l'aide d'une combinaison de différents algorithmes de chiffrement, en intégrant la clé chiffrée dans chaque fichier. Cette approche simplifie le processus de décryptage pour les victimes qui paient la rançon tout en compliquant les efforts pour contrer le malware.

‍

Impact

Hunters International a été responsable d'importantes violations de données, de pertes financières et d'atteintes durables à la réputation de la marque.

MITRE ATT&CK Mapping

TTP utilisées par Hunters Ransomware

TA0001: Initial Access

No items found.

TA0002: Execution

T1106

Native API

T1129

Shared Modules

TA0003: Persistence

T1547

Boot or Logon Autostart Execution

TA0004: Privilege Escalation

T1547

Boot or Logon Autostart Execution

TA0005: Defense Evasion

T1027

Obfuscated Files or Information

T1562

Impair Defenses

TA0006: Credential Access

No items found.

TA0007: Discovery

T1083

File and Directory Discovery

T1082

System Information Discovery

T1057

Process Discovery

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

No items found.

TA0040: Impact

T1486

Data Encrypted for Impact

Détections de la plate-forme

Comment détecter Hunters Ransomware avec Vectra AI

Des milliers d'entreprises s'appuient sur de puissantes détections pilotées par l'IA pour trouver et stopper les attaques - avant d'être touchées par une demande de rançon.

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Voir plus de détections

Évaluez votre exposition aux attaques

Foire aux questions

Qu'est-ce que le ransomware Hunters ?

Hunters International est un ransomware-as-a-service (RaaS) apparu à la fin de l'année 2023. Il est connu pour cibler un large éventail d'industries à travers le monde.

‍

Quel est le lien entre Hunters International et le Hive Ransomware ?

Hive était un groupe de ransomware démantelé par le FBI à la fin de l'année 2023. Peu après l'interruption de ses activités, des chercheurs en sécurité ont identifié une correspondance entre le code de Hive et le code utilisé par un nouveau groupe de ransomware appelé Hunters International. Cela a conduit à la théorie selon laquelle Hive aurait vendu ses actifs à Hunters International.

‍

Quelles sont les techniques utilisées par Hunters International pour compromettre les organisations ?

Hunters International utilise une double stratégie d'extorsion, combinant le cryptage et l'exfiltration des données. Ils menacent de divulguer les données volées sur leur site de fuite de données si les demandes de rançon ne sont pas satisfaites.

Quel est le code utilisé par Hunters International ?

Le ransomware de Hunters International est écrit dans le langage de programmation Rust, connu pour son efficacité et ses caractéristiques de sécurité. Le groupe a notamment rationalisé le processus de chiffrement en intégrant les clés de chiffrement dans les fichiers chiffrés, à l'aide d'une combinaison de méthodes de chiffrement.

‍

Quelles sont les industries ciblées par Hunters International ?

Faisant preuve d'une approche non discriminatoire, Hunters International a ciblé des organisations dans divers secteurs, notamment les soins de santé, l'automobile, la fabrication, la logistique, la finance, l'éducation et l'industrie alimentaire.

Quels sont les pays ciblés par Hunters International ?

Hunters International, comme son nom l'indique, a une portée mondiale. Des victimes ont été identifiées en France, en Allemagne, en Australie, au Brésil, au Canada, au Japon, en Namibie, en Nouvelle-Zélande, en Espagne, au Royaume-Uni et aux États-Unis, ainsi que dans de nombreux autres pays. Cette stratégie de ciblage opportuniste souligne leur volonté d'exploiter les vulnérabilités dans un large éventail d'industries et de régions.

Quelles sont les conséquences d'une attaque de Hunters International ?

Les victimes de Hunters International subissent des pertes importantes, tant sur le plan financier qu'en termes de réputation. En voici un exemple : En septembre 2024, Hunters International a revendiqué la violation de la succursale londonienne de la Banque industrielle et commerciale de Chine (ICBC). Le groupe a volé plus de 5,2 millions de fichiers et 6,6 To de données.

Comment les organisations peuvent-elles détecter les attaques de Hunters International et y répondre ?

Les organisations peuvent améliorer leurs capacités de détection et de réponse en mettant en œuvre une solide plateforme de détection des menaces pilotée par l'IA. Les équipes SOC disposent ainsi des informations dont elles ont besoin pour trouver et arrêter les activités des ransomwares en temps réel.

‍

Quels sont les meilleurs moyens de prévenir une attaque de Hunters International ?

Pour atténuer la menace posée par Hunters International et d'autres groupes de ransomware similaires, les professionnels de la cybersécurité devraient effectuer des sauvegardes régulières, former les employés à reconnaître les attaques phishing et s'assurer que tous les systèmes et logiciels sont à jour avec les derniers correctifs. En outre, les détections basées sur l'IA permettent d'identifier les attaquants après la compromission, avant qu'ils ne puissent lancer un ransomware.

Combien d'organisations ont déjà été touchées par Hunters International ?

Aux dernières nouvelles, 231 organisations avaient été touchées par le ransomware Hunters. Ce chiffre comprend 123 attaques aux États-Unis seulement.