Ransomware : le début de la fin pour Hunters International ?

L’enseigne de ransomware Hunters International, héritière de Hive, pourrait prochainement disparaître. C’est du moins ce qu’anticipe Group-IB. Ce dernier apparaît en tout cas suffisamment confiant pour partager publiquement des informations suggérant un accès à l’interface dédiée aux affidés.

À cette occasion, Group-IB revient sur l’outil de gestion décentralisée du stockage des données volées aux victimes de l’enseigne, que nous avions évoqué fin novembre dernier.

Le spécialiste du renseignement sur les menaces présente en outre une fonctionnalité de « mailing list » qui pourrait avoir été utilisée par les affidés pour contacter, en masse, employés, partenaires et concurrents de leurs victimes.

Le site vitrine de Hunters International a été découvert à l’automne 2023. Très vite, des liens avec Hive ont été repérés, par le chercheur rivitna, et à partir de l’analyse du code source du ransomware utilisé par Hunters International. Les équipes de Glimps ont fait les mêmes observations.

Le 24 octobre 2023, Hunters International a toutefois réfuté toute affiliation directe avec Hive, assurant que « tous les codes sources de Hive ont été vendus, y compris le site Web et les anciennes versions Golang et C, et nous sommes ceux qui les ont achetés ». Le groupe a néanmoins été surpris, au printemps 2024, en plein recyclage de données issues de cyberattaques précédemment conduites sous bannière Hive.

Près de 300 victimes de Hunters International sont publiquement connues à ce jour. Mais l’administrateur de l’enseigne n’est pas resté indifférent aux opérations judiciaires de lutte contre les rançongiciels.

Durant l’été 2024, il a ainsi reconnu une baisse des paiements de rançon, pour souligner l’importance, selon lui, de réduire la visibilité des cyberattaques avec ransomware : pour l’administrateur de Hunters International, pour encourager les victimes à payer, il faut les aider à faire en sorte que l’attaque ne se voie pas.

D’où l’abandon de note de rançon sur les machines affectées par l’attaque et l’arrêt du renommage des fichiers touchés. Tout cela avec un but : « ne pas donner à l’employé ordinaire de quoi comprendre que l’incident est survenu ».

Dans la continuité de cette logique, l’opérateur de la franchise a lancé un nouveau projet cette année, baptisé World Leaks. Là, plus question de double extorsion : il s’agit de se concentrer sur l’extorsion simple avec le seul vol de données. Une approche déjà tentée en 2022 par Karakurt et RansomHouse. D’aucuns envisageaient une adoption plus large de stratégie en 2021.

Avant cela, le 17 novembre dernier, l’opérateur de la franchise Hunters International avait annoncé à ses affidés l’arrêt des opérations. Avant de se raviser. C’était trois semaines avant l’attaque contre l’ESN française Ecritel. 

À l’heure où sont publiées ces lignes, l’enseigne Hunters International apparaît encore active. Mais pour combien de temps ?