توقف عملیات Hunters International و عرضه رسمی Decryptor های رایگان

گروه باج‌افزاری Hunters International که به‌عنوان یک عملیات Ransomware-as-a-Service (RaaS) شناخته می‌شد، امروز به‌صورت رسمی اعلام کرد که فعالیت‌های خود را متوقف کرده و ابزارهای رمزگشایی رایگان را در اختیار قربانیان قرار می‌دهد تا بدون پرداخت باج، داده‌های خود را بازیابی کنند.

این گروه سایبری در بیانیه‌ای که در پورتال نشت اطلاعات در دارک‌وب منتشر کرده، عنوان کرده است:

«پس از بررسی‌های دقیق و با توجه به تحولات اخیر، تصمیم گرفته‌ایم پروژه Hunters International را متوقف کنیم. این تصمیم به‌سادگی اتخاذ نشده و از تأثیر آن بر سازمان‌هایی که با آن‌ها تعامل داشته‌ایم آگاه هستیم.»

در ادامه این بیانیه آمده است:

«به‌عنوان نشانه‌ای از حسن نیت و برای کمک به سازمان‌هایی که تحت تأثیر فعالیت‌های قبلی ما قرار گرفته‌اند، ابزار رمزگشایی رایگان را در اختیار تمامی قربانیان قرار می‌دهیم. هدف ما این است که امکان بازیابی اطلاعات رمزگذاری‌شده بدون نیاز به پرداخت باج فراهم شود.»

به گفته این گروه، تمامی اطلاعات مربوط به قربانیان از پورتال اخاذی حذف شده و شرکت‌هایی که سیستم‌های آن‌ها توسط باج‌افزار Hunters International رمزگذاری شده‌اند، می‌توانند از طریق وب‌سایت رسمی این گروه، ابزارهای رمزگشایی و راهنمای بازیابی را دریافت کنند.

هرچند در این بیانیه به‌طور مستقیم به «تحولات اخیر» اشاره‌ای نشده است، اما این اعلامیه در پی بیانیه‌ای در تاریخ ۱۷ نوامبر منتشر شده که در آن گروه Hunters International از تصمیم خود برای توقف فعالیت به دلیل افزایش فشارهای نهادهای مجری قانون و کاهش سودآوری خبر داده بود.

همچنین شرکت اطلاعات تهدید Group-IB در ماه آوریل فاش کرده بود که Hunters International در حال تغییر برند بوده و قصد دارد تمرکز خود را صرفاً بر سرقت داده و حملات اخاذی اطلاعاتی قرار دهد. این گروه همچنین عملیاتی جدید با عنوان World Leaks را راه‌اندازی کرده بود که مبتنی بر اخاذی بدون رمزگذاری داده‌ها بود.

جزئیات بیشتر از فعالیت Hunters International و تغییر جهت به عملیات جدید World Leaks

طبق گزارش شرکت اطلاعات تهدید Group-IB، برخلاف گروه Hunters International که از ترکیب رمزگذاری و اخاذی برای حملات خود استفاده می‌کرد، عملیات جدید World Leaks به‌صورت اختصاصی بر اخاذی اطلاعاتی متمرکز است و از یک ابزار خاص برای استخراج داده بهره می‌برد. این ابزار سفارشی، نسخه ارتقاءیافته‌ای از نرم‌افزار استخراج اطلاعات Storage Software محسوب می‌شود که پیش‌تر توسط وابستگان Hunters International به‌کار گرفته می‌شد.

گروه Hunters International در اواخر سال ۲۰۲۳ ظهور کرد و توسط پژوهشگران امنیت سایبری و متخصصان حوزه باج‌افزار، به‌عنوان بازسازی احتمالی گروه Hive شناسایی شد؛ چرا که شباهت‌های کد قابل توجهی میان این دو مشاهده شده بود. بدافزار توسعه‌یافته این گروه، طیف گسترده‌ای از پلتفرم‌ها شامل Windows، Linux، FreeBSD، SunOS و ESXi (سرورهای VMware) را هدف قرار می‌داد و از معماری‌های x64، x86 و ARM نیز پشتیبانی می‌کرد.

در طول دو سال گذشته، Hunters International شرکت‌هایی با اندازه‌های مختلف را هدف قرار داده است. مبالغ درخواستی برای باج‌گیری از قربانیان، بسته به اندازه سازمان مورد حمله، از چند صد هزار تا چند میلیون دلار متغیر بوده است.

این گروه باج‌افزاری مسئولیت نزدیک به ۳۰۰ حمله سایبری در سطح جهانی را بر عهده گرفته و به‌عنوان یکی از فعال‌ترین عملیات‌های باج‌افزاری در سال‌های اخیر شناخته می‌شود.

برخی از مهم‌ترین قربانیان Hunters International عبارتند از:

• U.S. Marshals Service
• شرکت ژاپنی Hoya (فعال در حوزه اپتیک)
• Tata Technologies
• نمایندگی بزرگ خودرو در آمریکای شمالی AutoCanada
• پیمانکار نیروی دریایی ایالات متحده Austal USA
• شبکه درمانی غیرانتفاعی Integris Health در ایالت اوکلاهما

در دسامبر ۲۰۲۴، این گروه همچنین با نفوذ به مرکز درمانی Fred Hutch Cancer Center، تهدید کرد که در صورت عدم پرداخت باج، داده‌های بیش از ۸۰۰٬۰۰۰ بیمار سرطانی را افشا خواهد کرد.