A operação de ransomware as a service Hunters International está sendo encerrada e reformulada. O grupo planeja abandonar o uso de malware de criptografia para focar exclusivamente em ataques de roubo de dados seguidos de extorsão. A mudança foi revelada esta semana pela empresa de inteligência de ameaças Group-IB, que apontou que, apesar de o grupo ter anunciado seu fechamento em 17 de novembro de 2024, ele continuou ativo nos bastidores.
Leia também
Cisco corrige falhas que permitiam DOS em appliances
IA fortifica crime organizado, aponta União Europeia
Em 1º de janeiro de 2025, a Hunters International lançou sua nova frente de operação, agora chamada de “World Leaks”, dedicada apenas à extorsão baseada na exfiltração de dados. De acordo com o Group-IB, os operadores do grupo consideram o modelo tradicional de ransomware arriscado demais e cada vez menos rentável, principalmente por causa do aumento da pressão de governos e autoridades internacionais. A nova estratégia distribui entre os afiliados uma ferramenta de exfiltração desenvolvida internamente, feita para automatizar o processo de roubo de dados nas redes das vítimas.
Diferente do modelo anterior, que combinava criptografia de arquivos com ameaças de vazamento, o World Leaks atua apenas como grupo de extorsão, apostando em uma ferramenta própria que parece ser uma versão evoluída da ferramenta de exfiltração Storage Software, já usada por afiliados da antiga Hunters International.
Surgida no final de 2023, a Hunters International foi apontada como possível sucessora da notória gangue Hive, com base em similaridades de código. Seu ransomware era compatível com uma ampla gama de sistemas, incluindo Windows, Linux, FreeBSD, SunOS e servidores ESXi, e funcionava em arquiteturas x64, x86 e ARM. Desde então, o grupo esteve envolvido em mais de 280 ataques cibernéticos ao redor do mundo, tornando-se uma das operações mais ativas do cenário recente.
Entre as vítimas de maior destaque estão empresas como Tata Technologies, a rede norte-americana AutoCanada, o US Marshals Service, a fabricante japonesa de lentes Hoya, a contratada naval Austal USA e a rede de saúde Integraris Health, de Oklahoma. Em dezembro, a gangue também atacou o Fred Hutch Cancer Center, ameaçando divulgar dados de mais de 800 mil pacientes com câncer caso o resgate não fosse pago.
O grupo vinha direcionando suas ações a empresas de todos os tamanhos, com valores de resgate que variavam de centenas de milhares a milhões de dólares, dependendo da organização comprometida. Agora, com o foco exclusivamente na exfiltração, a World Leaks representa a nova face dessa ameaça, que dispensa a criptografia para apostar no impacto direto da exposição de dados sensíveis.
