La banda de ransomware Hunters International se renombra como World Leaks

La banda de ransomware Hunters International se desmantela tras 55 ciberataques confirmados y 199 no confirmados. Lea sobre su cambio de nombre a World Leaks y su impacto en la atención médica y las empresas.

Un destacado grupo de ransomware como servicio, 'Hunters International', ha declarado oficialmente su cierre, a partir de hoy, 4 de julio de 2025. Activo durante aproximadamente dos años, y especulado como un resurgimiento o sucesor del notorio ransomware Hive (desmantelado por las fuerzas del orden globales en enero de 2023 después de extorsionar más de $100 millones), Hunters International ganó notoriedad por sus tácticas de doble extorsión .

Esto implicaba cifrar los datos de las víctimas y robarlos para su divulgación pública si no se pagaba un rescate. Sin embargo, investigadores de seguridad han indicado que este cierre es más una unión estratégica que una retirada, ya que el grupo ya opera bajo un nuevo nombre: World Leaks.

Los investigadores de Comparitech han investigado y confirmado 55 ataques de ransomware reivindicados por Hunters International, además de otros 199 sin confirmar. Estas brechas confirmadas resultaron en la vulneración de al menos 3,25 millones de registros personales.

El sector sanitario se vio especialmente afectado, con 2,9 millones de registros comprometidos en 19 ataques a hospitales y clínicas. Se confirmaron 55 ataques a empresas, siendo los fabricantes el objetivo más frecuente (12). Las entidades gubernamentales y las escuelas también fueron víctimas, con 16 y 2 ataques confirmados, respectivamente.

Hunters International rara vez hacía públicas sus exigencias de rescate. Sin embargo, surgieron dos casos notables: Hoya Corporation, en Japón, recibió una exigencia de 10 millones de dólares en marzo de 2024, y Azienda USL di Modena, en Italia, se negó a pagar un rescate de 3 millones de dólares en noviembre de 2023.

Algunas de las mayores filtraciones de datos atribuidas a Hunters International en EE. UU. incluyen las del Centro Oncológico Fred Hutchinson (1.840.927 personas afectadas en noviembre de 2023), Omni Family Health (468.344 personas en agosto de 2024) y Arisa Health (375.436 personas en marzo de 2024). En una maniobra audaz, Hunters incluso contactó a pacientes individuales del Centro Oncológico Fred Hutchinson, exigiéndoles 50 dólares para borrar sus datos robados.

Esta operación RaaS se cobró 24 organizaciones víctimas solo en noviembre de 2024, informa Forescout, con un promedio de una por día (10 en EE. UU., 2 en el Reino Unido, 7 en la UE, 3 en América del Sur y 2 en Asia).

La firma de inteligencia de amenazas Group-IB informó en abril de 2025 que Hunters International estaba cambiando su nombre a World Leaks. Esta nueva operación se centra exclusivamente en el robo y la extorsión de datos, abandonando el cifrado del ransomware tradicional.

Rebecca Moody, jefa de investigación de datos de Comparitech, comentó sobre este cambio, sugiriendo que no se trata de un cambio de actitud, sino de una transición hacia una fuente de ingresos potencialmente más lucrativa en el robo de datos. Señaló que World Leaks no es una banda de ransomware, ya que el software (cifrado) está gravemente ausente en sus ataques.

World Leaks ya se ha atribuido la responsabilidad de 33 ataques, incluyendo a Chain IQ (Suiza) y Freedom Healthcare en Colorado. Sorprendentemente, Hunters International ha declarado que ofrecerá software de descifrado gratuito a las empresas infectadas por su ransomware que aún no hayan pagado el rescate.

Sin embargo, Moody cree que muchas víctimas ya habrán restaurado sus sistemas, lo que hace que la oferta sea en gran medida simbólica dada la inactividad del grupo en nuevos ataques de cifrado desde mayo de 2025. No obstante, esta transición marca una evolución significativa en la comunidad del cibercrimen, donde la extorsión de datos se está convirtiendo en una amenaza cada vez más frecuente y específica.