Ransomware : Hunters International ferme officiellement boutique

C’est fait : Hunters International baisse son rideau. L’enseigne vient tout juste de l’annoncer sur son site vitrine, là même où elle épinglait ses victimes et divulguait leurs données lorsqu’elles refusaient de céder au chantage.

Sur ce site, accessible via Tor, plus aucune victime ne figure désormais. Dans un message publié là, les opérateurs indiquent faire preuve de mansuétude : « en signe de bonne volonté et afin d’aider les personnes touchées par nos activités passées, nous offrons gratuitement un logiciel de déchiffrement à toutes les entreprises qui ont été victimes de notre ransomware ».

Grands seigneurs, ils expliquent que leur objectif « est de vous permettre de récupérer vos données chiffrées sans avoir à payer de rançon ». Sans ironie aucune, ils assurent comprendre « les défis que posent les attaques par ransomware et [espèrent] que cette initiative vous aidera à retrouver rapidement et efficacement l’accès à vos informations critiques. Pour accéder aux outils de déchiffrement et obtenir des conseils sur le processus de récupération, veuillez consulter notre site web officiel ». Ceux dont les données ont été chiffrées il y a plusieurs mois et dont l’activité a été durablement affectée apprécieront sûrement.

Et les opérateurs de Hunters International d’ajouter : « nous vous remercions de votre compréhension et de votre coopération pendant cette transition. Notre engagement à soutenir les organisations touchées reste notre priorité alors que nous mettons fin à nos activités ».

Cette démarche avait été anticipée par Group-IB au début printemps. Et elle ne marque pas la fin des activités des opérateurs de Hunters International, loin de là : la franchise continue de pratiquer la cyberextorsion, mais sans chiffrement, se contentant de voler des données et de menacer de les divulguer publiquement en cas de refus de paiement de la rançon demandée.

Près de 310 victimes de Hunters International sont publiquement connues à ce jour. Durant l’été 2024, l’administrateur de l’enseigne a reconnu une baisse des paiements de rançon, pour souligner l’importance, selon lui, de réduire la visibilité des cyberattaques avec ransomware : pour lui, pour encourager les victimes à payer, il faut les aider à faire en sorte que l’attaque ne se voie pas.

D’où l’abandon de note de rançon sur les machines affectées par l’attaque et l’arrêt du renommage des fichiers touchés. Tout cela avec un but : « ne pas donner à l’employé ordinaire de quoi comprendre que l’incident est survenu ».

Dans la continuité de cette logique, l’opérateur de la franchise avait lancé un nouveau projet l’année dernière, baptisé World Leaks. Là, plus question de double extorsion : il s’agit de se concentrer sur l’extorsion simple avec le seul vol de données. Une approche déjà tentée en 2022 par Karakurt et RansomHouse. Et plus récemment par Silent, qui s’était présenté comme un World Leaks ayant choisi un autre nom. D’aucuns envisageaient une adoption plus large de stratégie en 2021.

Avant cela, le 17 novembre dernier, l’opérateur de la franchise Hunters International avait annoncé à ses affidés l’arrêt des opérations. Avant de se raviser. C’était trois semaines avant l’attaque contre l’ESN française Ecritel. 

L’enseigne World Leaks est quant à elle suivie depuis la mi-mai. Une trentaine de victimes lui sont aujourd’hui connues.