Hunters International Ransomware Gang verandert naam als World Leaks

De ransomwarebende Hunters International is opgeheven na 55 bevestigde en 199 onbevestigde cyberaanvallen. Lees meer over de naamswijziging naar World Leaks en de impact ervan op de gezondheidszorg en het bedrijfsleven.

Hunters International, een vooraanstaande ransomware-as-a-service-groep, heeft officieel haar sluiting aangekondigd, met ingang van vandaag, 4 juli 2025. De groep was ongeveer twee jaar actief en er wordt gespeculeerd dat het een heropleving of opvolger is van de beruchte Hive Ransomware (die in januari 2023 door wereldwijde wetshandhaving werd ontmanteld na meer dan 100 miljoen dollar te hebben afgeperst). Hunters International kreeg beruchtheid vanwege zijn dubbele afpersingstactieken .

Dit omvatte zowel het versleutelen van slachtoffergegevens als het stelen ervan voor openbare vrijgave als er geen losgeld werd betaald. Beveiligingsonderzoekers hebben echter aangegeven dat deze sluiting minder een afscheid is dan een strategische beslissing, aangezien de groep al onder een nieuwe naam opereert: World Leaks.

Onderzoekers van Comparitech hebben 55 ransomware-aanvallen onderzocht en bevestigd die door Hunters International zijn geclaimd, met daarnaast nog eens 199 onbevestigde claims. Deze bevestigde inbreuken hebben geleid tot de diefstal van minstens 3,25 miljoen persoonlijke gegevens.

De gezondheidszorg werd bijzonder hard getroffen en was goed voor 2,9 miljoen van de gecompromitteerde gegevens in 19 aanvallen op ziekenhuizen en klinieken. Bedrijven kregen te maken met 55 bevestigde aanvallen, waarbij fabrikanten het meest frequente doelwit waren (12 aanvallen). Ook overheidsinstanties en scholen werden slachtoffer, met respectievelijk 16 en 2 bevestigde aanvallen.

Hunters International maakte zijn losgeldeisen zelden openbaar. Er kwamen echter twee opmerkelijke gevallen naar voren: Hoya Corporation in Japan kreeg in maart 2024 een losgeldeis van $ 10 miljoen opgelegd en Azienda USL di Modena in Italië weigerde in november 2023 een losgeld van $ 3 miljoen te betalen .

Enkele van de grootste datalekken die aan Hunters International in de VS worden toegeschreven, zijn die van het Fred Hutchinson Cancer Centre (1.840.927 getroffen personen in november 2023), Omni Family Health (468.344 personen in augustus 2024) en Arisa Health (375.436 personen in maart 2024). In een gewaagde zet nam Hunters zelfs contact op met individuele patiënten van het Fred Hutchinson Cancer Centre en eiste $ 50 om hun gestolen gegevens te verwijderen.

Volgens Forescout zijn er bij deze RaaS-operatie in november 2024 alleen al 24 organisaties slachtoffer geworden, met een gemiddelde van één per dag (10 in de VS, 2 in het VK, 7 in de EU, 3 in Zuid-Amerika en 2 in Azië).

Threat intelligence-bureau Group-IB meldde in april 2025 dat Hunters International bezig was met een naamswijziging naar World Leaks. Deze nieuwe operatie richt zich uitsluitend op datadiefstal en afpersing, waarbij de encryptie van traditionele ransomware wordt losgelaten.

Rebecca Moody, hoofd dataonderzoek bij Comparitech, gaf commentaar op deze verschuiving en suggereerde dat het niet om een ​​verandering van inzicht gaat, maar eerder om een ​​beweging richting een "potentieel lucratievere" inkomstenstroom in datadiefstal. Ze merkte op dat World Leaks "geen ransomwarebende" is, aangezien de "ware" (encryptie) bij hun aanvallen ernstig ontbreekt.

World Leaks heeft al 33 aanvallen opgeëist, waaronder die op Chain IQ (Zwitserland) en Freedom Healthcare in Colorado. Een verrassende ontwikkeling is dat Hunters International heeft aangekondigd gratis decryptiesoftware aan te bieden aan bedrijven die besmet zijn met de ransomware, maar nog geen losgeld hebben betaald.

Moody denkt echter dat veel slachtoffers hun systemen al hebben hersteld, waardoor het aanbod grotendeels symbolisch is, aangezien de groep sinds mei 2025 niet meer actief is geweest op het gebied van nieuwe encryptieaanvallen. Deze overgang markeert echter een belangrijke evolutie in de cybercriminaliteitsgemeenschap, waarbij gegevensafpersing een steeds grotere en gerichtere bedreiging wordt.