安全企业Group-IB今年4月披露勒索软件Hunters International的最新动态,指出这些黑客疑似在司法单位的压力下,提供给加盟主的新版(第6版)勒索软件已不再具备留下勒索消息的功能,该组织还另外推出名为Storage Software的工具,让加盟主能窃取受害组织数据的过程里,将相关中继数据回传到该团体的服务器。而这么做的目的,很有可能是打算关闭Hunters International的项目,并使用World Leaks的名号另起炉灶,如今这样的推测得到证实,黑客正式宣布结束运营。
根据安全新闻网站Bleeping Computer的调查团队发现,Hunters International于7月3日正式宣布关闭其业务,并且直接提供解密密钥,意味着尚未付钱的受害组织可免费将数据恢复。
为何黑客要结束Hunters International?根据该团体在暗网发布的声明,起因是近期的事态发展,经过仔细考虑,最后做出的决定。虽然这份公告没有明确说明原因,但Bleeping Computer指出就是受到执法行动的压力,因为上述公告引用一则11月17号的声明,内容提及基于执法行动增加与获利减少,Hunters International很快就会关闭。
Hunters International约于2023年下旬开始出没,安全研究员与勒索软件专家根据程序代码的比对,普遍认为是勒索软件Hive品牌的品牌重塑,迄今声称发动约300起攻击。受害组织包含美国司法部旗下的法警局(United States Marshals Service)、日本光学设备制造商Hoya、印度汽车大厂Tata旗下的研发公司Tata Technologies、北美汽车经销商AutoCanada、福瑞德·哈金森癌症研究中心(Fred Hutchinson Cancer Center)等。
个人安全产品评测网站Comparitech也公布调查结果,指出Hunters International运营期间约有250家企业组织受害,他们确认其中的55起事故,另有199起是尚未得到证实的事故。光是确认受害的企业组织,就有325万笔记录外流。
根据受害组织的产业,有55起事故是针对一般企业、19起锁定医疗看护机构、16起锁定政府机关、2起是学术机构。其中针对一般企业的部分,又以制造业最多,有12起,但也有针对营造、金融、科技、法律、食品、零售的攻击。
对于黑客宣布免费提供解密密钥的现象,Comparitech研究员Rebecca Moody向安全新闻网站SecurityWeek透露,他们认为此举对受害组织应该几乎没有帮助,原因是这些黑客自5月开始并未再列出新的受害组织,而大部分的受害组织也已经恢复自己的系统。也就是说,他们早就向黑客低头,选择付钱换得解密密钥。
这些黑客显然看上窃取数据更为有利可图的情况,他们在更名为World Leaks之后,积极利用窃得数据向受害组织勒索,而这样的手法,在Hunters International时期就曾得逞,成功让受害组织付钱。Rebecca Moody认为,Hunters International成员改组为World Leaks,不再加密文件,而是集中以窃得数据进行勒索的策略,未来其他勒索软件黑客很有可能会跟进。
KnowBe4安全意识倡导员Erich Kron也对此现象提出看法,他指出有鉴于世界各地执法单位联手大力打击勒索软件,Hunters International发布免费密钥的举动,应该是潜在执法活动的结果。
黑客转向数据窃取的做法,由于不像勒索软件会破坏企业组织的运营,影响程度较低,Erich Kron认为,黑客这么做比较不会引起执法机关的注意。
