Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
cybercriminels
>
Groupe de Ransomware

Hunters

Hunters International est un ransomware en tant que service qui a fait son apparition sur la scène des cyberattaques en 2023. Il présente des risques importants pour les organisations, quels que soient leur secteur d'activité et leur taille.

Découvrir les TTP du chasseur
Votre organisation est-elle à l'abri du ransomware international Hunters ?
Contexte
Cibles
TTPs
Détection
Foire aux questions
Regarder notre Threat Briefing

L'origine du ransomware Hunters International

Hunters International est apparu à la fin de l'année 2023 dans ce que les experts du secteur ont identifié comme une tentative de ranimer le code d'un ransomware provenant d'une organisation cybercriminelle précédemment fermée. Ce code était à l'origine utilisé par Hive, une opération destructrice qui a extorqué plus de 100 millions de dollars à quelque 1 500 victimes. 

Peu de temps après que le FBI a interrompu Hive, ses opérateurs ont transmis leur code à un nouveau groupe appelé Hunters International. Ce transfert a été découvert par des chercheurs en sécurité à la suite d'une vague de nouveaux échantillons de ransomware utilisant un code source remarquablement similaire. 

Depuis, le groupe a réussi à compromettre des victimes dans au moins deux douzaines de pays.

Sources : TechCrunch, Département de la justice des États-Unis, Bitdefender  

L'origine du ransomware Hunters International
Cibles

Hunters Les cibles des rançongiciels

Pays ciblés par le groupe Hunters Ransomware

Comme son nom l'indique, Hunters International cible des organisations du monde entier. Aux dernières nouvelles, le groupe a compromis des victimes dans une trentaine de pays. Du Canada à la Nouvelle-Zélande, les organisations sont ciblées davantage pour leur vulnérabilité et leur propension à payer une rançon que pour leur localisation. À ce jour, c'est aux États-Unis que le nombre de victimes de Hunters International est le plus élevé.

Sources : HIPAA Journal, Ransomware.live

Secteurs d'activité ciblés par le groupe Hunters Ransomware

Hunters Les victimes internationales sont des organisations issues d'un large éventail de secteurs, allant des soins de santé à la fabrication, en passant par la finance, l'éducation et l'automobile. Ce style aveugle signifie que le groupe représente un risque important pour les organisations de toutes tailles et de tous secteurs.

Secteurs d'activité ciblés par le groupe Hunters Ransomware

Hunters Les victimes internationales sont des organisations issues d'un large éventail de secteurs, allant des soins de santé à la fabrication, en passant par la finance, l'éducation et l'automobile. Ce style aveugle signifie que le groupe représente un risque important pour les organisations de toutes tailles et de tous secteurs.

Hunters Les victimes du ransomware

À ce jour, 231 personnes ont été victimes du ransomware Hunters International.

Source : Ransomware.live

Méthode d'attaque

Hunters Méthode d'attaque des ransomwares

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Hunters International obtient généralement l'accès à l'aide de campagnes d'ingénierie sociale et de phishing conçues pour inciter les employés à télécharger et à exécuter des fichiers malveillants. Le groupe est également connu pour son utilisation du protocole de bureau à distance (RDP).

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Dans certains cas, Hunters International se fait passer pour un programme légitime de balayage des ports afin d'installer malware et d'obtenir l'accès des employés du service informatique. Une fois dans le réseau, le groupe s'octroie des niveaux d'accès administrateur plus élevés. 

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Hunters International échappe à la détection en utilisant des méthodes apparemment légitimes pour obtenir un accès et se déplacer latéralement.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Hunters Le ransomware international est écrit en Rust, un langage réputé pour sa résistance à la rétro-ingénierie et son contrôle rigoureux des ressources de bas niveau.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Le site malware chiffre les fichiers à l'aide d'une combinaison de différents algorithmes de chiffrement, en intégrant la clé chiffrée dans chaque fichier. Cette approche simplifie le processus de décryptage pour les victimes qui paient la rançon tout en compliquant les efforts pour contrer le malware.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Hunters International a été à l'origine d'importantes violations de données, de pertes financières et d'atteintes durables à la réputation de la marque.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Hunters International obtient généralement l'accès à l'aide de campagnes d'ingénierie sociale et de phishing conçues pour inciter les employés à télécharger et à exécuter des fichiers malveillants. Le groupe est également connu pour son utilisation du protocole de bureau à distance (RDP).

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Dans certains cas, Hunters International se fait passer pour un programme légitime de balayage des ports afin d'installer malware et d'obtenir l'accès des employés du service informatique. Une fois dans le réseau, le groupe s'octroie des niveaux d'accès administrateur plus élevés. 

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Hunters International échappe à la détection en utilisant des méthodes apparemment légitimes pour obtenir un accès et se déplacer latéralement.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants
Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte
Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral
Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Hunters Le ransomware international est écrit en Rust, un langage réputé pour sa résistance à la rétro-ingénierie et son contrôle rigoureux des ressources de bas niveau.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Le site malware chiffre les fichiers à l'aide d'une combinaison de différents algorithmes de chiffrement, en intégrant la clé chiffrée dans chaque fichier. Cette approche simplifie le processus de décryptage pour les victimes qui paient la rançon tout en compliquant les efforts pour contrer le malware.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Hunters International a été à l'origine d'importantes violations de données, de pertes financières et d'atteintes durables à la réputation de la marque.

MITRE ATT&CK Mapping

TTP utilisées par le ransomware Hunters

TA0001: Initial Access
No items found.
TA0002: Execution
T1106
Native API
T1129
Shared Modules
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
No items found.
TA0007: Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Détections de la plate-forme

Comment détecter le ransomware Hunters avec Vectra AI

Des milliers d'entreprises s'appuient sur de puissantes détections pilotées par l'IA pour trouver et stopper les attaques - avant d'être touchées par une demande de rançon.

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Voir plus de détections
Évaluez votre exposition aux attaques

Foire aux questions

Qu'est-ce que le ransomware Hunters ?

Hunters International est un ransomware-as-a-service (RaaS) apparu à la fin de l'année 2023. Il est connu pour cibler un large éventail d'industries à travers le monde.

Quel est le lien entre Hunters International et le Hive Ransomware ?

Hive était un groupe de ransomware démantelé par le FBI à la fin de l'année 2023. Peu après l'interruption de ses activités, des chercheurs en sécurité ont constaté une correspondance entre le code de Hive et le code utilisé par un nouveau groupe de ransomwares appelé Hunters International. Cela a conduit à la théorie selon laquelle Hive aurait vendu ses actifs à Hunters International.

Quelles sont les techniques utilisées par Hunters International pour compromettre les organisations ?

Hunters International utilise une double stratégie d'extorsion, combinant le cryptage et l'exfiltration des données. Ils menacent de divulguer les données volées sur leur site de fuite de données si les demandes de rançon ne sont pas satisfaites.

Quel est le code utilisé par Hunters International ?

Hunters Le ransomware international est écrit dans le langage de programmation Rust, connu pour son efficacité et ses caractéristiques de sécurité. Le groupe a notamment rationalisé le processus de cryptage en intégrant les clés de cryptage dans les fichiers cryptés, à l'aide d'une combinaison de méthodes de cryptage.

Quelles sont les industries ciblées par Hunters International ?

Faisant preuve d'une approche non discriminatoire, Hunters International a ciblé des organisations de divers secteurs, notamment les soins de santé, l'automobile, la fabrication, la logistique, la finance, l'éducation et l'industrie alimentaire.

Quels sont les pays ciblés par Hunters International ?

Hunters International, comme son nom l'indique, a une portée mondiale. Des victimes ont été identifiées en France, en Allemagne, en Australie, au Brésil, au Canada, au Japon, en Namibie, en Nouvelle-Zélande, en Espagne, au Royaume-Uni et aux États-Unis, ainsi que dans de nombreux autres pays. Cette stratégie de ciblage opportuniste souligne leur volonté d'exploiter les vulnérabilités dans un large éventail de secteurs et de régions.

Quelles sont les implications d'une attaque de Hunters International ?

Hunters Les victimes internationales subissent des pertes importantes, tant sur le plan financier qu'en termes de réputation. En voici un exemple : En septembre 2024, Hunters International a revendiqué la violation de la succursale londonienne de la Banque industrielle et commerciale de Chine (ICBC). Le groupe a volé plus de 5,2 millions de fichiers et 6,6 To de données.

Comment les organisations peuvent-elles détecter les attaques de Hunters International et y répondre ?

Les organisations peuvent améliorer leurs capacités de détection et de réponse en mettant en œuvre une solide plateforme de détection des menaces pilotée par l'IA. Les équipes SOC disposent ainsi des informations dont elles ont besoin pour trouver et arrêter les activités des ransomwares en temps réel.

Quels sont les meilleurs moyens de prévenir une attaque de Hunters International ?

Pour atténuer la menace posée par Hunters International et d'autres groupes de ransomware similaires, les professionnels de la cybersécurité doivent effectuer des sauvegardes régulières, former les employés à reconnaître les attaques phishing et s'assurer que tous les systèmes et logiciels sont à jour avec les derniers correctifs. En outre, les détections basées sur l'IA permettent d'identifier les attaquants après la compromission, avant qu'ils ne puissent lancer un ransomware.

Combien d'organisations ont déjà été touchées par Hunters International ?

Aux dernières nouvelles, 231 organisations ont été touchées par le ransomware Hunters . Ce chiffre comprend 123 attaques rien qu'aux États-Unis.

Votre organisation est-elle à l'abri du ransomware international Hunters ?

Évaluez votre exposition aux attaques