Gang ransomware Hunters International zmienia nazwę na World Leaks

Gang ransomware Hunters International zamyka się po 55 potwierdzonych i 199 niepotwierdzonych cyberatakach. Przeczytaj o zmianie nazwy na World Leaks i jej wpływie na opiekę zdrowotną i przedsiębiorstwa.

Znana grupa zajmująca się usługami ransomware „Hunters International” oficjalnie ogłosiła swoje zamknięcie, które wchodzi w życie 4 lipca 2025 r. Działała przez około dwa lata i spekulowano, że jest reaktywacją lub następcą niesławnego oprogramowania Hive Ransomware (zdemontowanego przez globalne organy ścigania w styczniu 2023 r. po wyłudzeniu ponad 100 milionów dolarów). Hunters International zyskała złą sławę dzięki swoim podwójnym taktykom wymuszeń .

Obejmowało to zarówno szyfrowanie danych ofiary, jak i ich kradzież w celu publicznego ujawnienia, jeśli nie zapłacono okupu. Jednak badacze bezpieczeństwa wskazali, że to zamknięcie jest mniej emeryturą, a bardziej strategicznym połączeniem, ponieważ grupa działa już pod nową nazwą: World Leaks.

Badacze Comparitech zbadali i potwierdzili 55 ataków ransomware zgłoszonych przez Hunters International, z dodatkowymi 199 niepotwierdzonymi roszczeniami. Te potwierdzone naruszenia doprowadziły do ​​naruszenia co najmniej 3,25 miliona rekordów osobistych.

Sektor opieki zdrowotnej został szczególnie mocno dotknięty, odpowiadając za 2,9 miliona tych zagrożonych rekordów w 19 atakach na szpitale i kliniki. Przedsiębiorstwa doświadczyły 55 potwierdzonych ataków, przy czym najczęstszym celem byli producenci (12 ataków). Podmioty rządowe i szkoły również padły ofiarą, odpowiednio 16 i 2 potwierdzonych ataków.

Hunters International rzadko upubliczniało swoje żądania okupu. Pojawiły się jednak dwa godne uwagi przypadki: Hoya Corporation w Japonii otrzymała żądanie 10 milionów dolarów w marcu 2024 r., a Azienda USL di Modena we Włoszech odmówiła zapłaty 3 milionów dolarów okupu w listopadzie 2023 r.

Niektóre z największych naruszeń danych przypisywanych Hunters International w USA obejmują Fred Hutchinson Cancer Centre (1 840 927 osób dotkniętych w listopadzie 2023 r.), Omni Family Health (468 344 osób w sierpniu 2024 r.) i Arisa Health (375 436 osób w marcu 2024 r.). W odważnym posunięciu Hunters skontaktował się nawet z poszczególnymi pacjentami z Fred Hutchinson Cancer Centre, żądając 50 USD za usunięcie ich skradzionych danych.

Jak podaje Forescout, w ramach tej operacji RaaS tylko w listopadzie 2024 r. padło ofiarą 24 organizacji, przy czym średnio dziennie dochodziło do jednej operacji (10 w USA, 2 w Wielkiej Brytanii, 7 w UE, 3 w Ameryce Południowej i 2 w Azji).

Firma zajmująca się wywiadem zagrożeń Group-IB poinformowała w kwietniu 2025 r., że Hunters International jest w trakcie zmiany nazwy na World Leaks. Ta nowa operacja koncentruje się wyłącznie na kradzieży danych i wymuszeniach, porzucając aspekt szyfrowania tradycyjnego oprogramowania ransomware.

Rebecca Moody, szefowa działu badań danych w Comparitech, skomentowała tę zmianę, sugerując, że nie jest to zmiana nastawienia, ale raczej ruch w kierunku „potencjalnie bardziej dochodowego” strumienia przychodów z kradzieży danych. Zauważyła, że ​​World Leaks „nie jest gangiem ransomware”, ponieważ „ware” (szyfrowanie) jest krytycznie nieobecne w ich atakach.

World Leaks przyznało się już do 33 ataków, w tym na Chain IQ (Szwajcaria) i Freedom Healthcare w Kolorado. W zaskakującym rozwoju sytuacji Hunters International oświadczyło, że zaoferuje bezpłatne oprogramowanie deszyfrujące firmom, które zostały zainfekowane przez jego ransomware, ale jeszcze nie zapłaciły okupu.

Moody uważa jednak, że wiele ofiar przywróciło już swoje systemy, co sprawia, że ​​oferta ma w dużej mierze symboliczny charakter, biorąc pod uwagę brak aktywności grupy w zakresie nowych ataków szyfrujących od maja 2025 r. Niemniej jednak ta zmiana oznacza znaczącą ewolucję w środowisku cyberprzestępców, a wymuszenia danych stają się coraz bardziej powszechnym i ukierunkowanym zagrożeniem.