Hunters International
Hunters International是一个勒索软件即服务(Ransomware-as-a-Service,简称RaaS)组织,它是Hive Ransomware 的后代(Hive 勒索软件集团以全球 1,500 多名受害者为目标,提取了超过 1 亿美元的赎金。注意:由于 HIVE 组织尚未被 FBI 正式捣毁,我们无法得出这是否是同一组织的结论。) Hunters International于2023年出现。专注于攻击Windows和Linux环境,进行数据加密和泄露。 这个组织的主要目标是泄露目标数据,然后以赎金要求换取被盗数据的归还,以此方式勒索受害者。
首次出现时间:
2023-10
攻击方法:
暂未查询
勒索地址:
一、55泄露信息平台(登录页):
- 地址:https://hunters55xxxxxxxxxxxxxxxax2reroyzxhou7my5ejyid.onion
- 界面:
- 解释:该页面是一个面向大众的页面,里面有许多受害者公司被泄露的信息
二、33受害者谈判平台:
- 地址:https://hunters33xxxxxxxxxxxxxxxxxxxxxxxxxxxqon6mxfiqyd.onion
- 界面:
- 解释:这个相当于一个客服的平台,受害者被勒索后需要通过这个平台与勒索组织联系谈判
三、77管理平台:
- 地址:https://hunters77xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion
- 界面:
- 解释:这个页面是勒索软件组织面向这个它的附属攻击组织所建的,就是它的下游的一些攻击团队,就是给他干活的一些攻击团队,这些攻击团队可以通过上面这个页面,下载一些hunters勒索软件组织的加密器,和一些其他软件。
捕获分析:
暂未查询
加密算法:
疑似Hunters International的前身Hive组织 之前采用了一种独特的加密方法。它不是在每个加密文件中嵌入加密密钥,而是在内存中生成两组密钥,将它们用于文件加密,然后加密并将这两组密钥存储在它加密的驱动器的根目录中,文件扩展名.key。
- 以前的版本将解密密钥存储在单独的文件中,而此版本将其嵌入到加密文件中。这代表了勒索软件行业中一种更简单、更普遍的方法。
- 在这个新变体中,他们似乎已经恢复到更常见和更简单的做法,即将密钥包含在加密文件中。这个“新”勒索软件系列结合使用 ChaCha20-Poly1305 来加密文件,使用 RSA OAEP 来加密密钥。此 RSA 加密使用一种称为 PKCS1 和 SHA3-512 的特定方法作为哈希算法。密钥生成材料现在直接嵌入到加密文件中(尽管仍然使用 RSA 加密)。此材料使用 RSA 私钥解密,然后用于生成 Chacha 密钥。ChaCha20 是一种对称加密机制 - 加密和解密使用相同的密钥。
加密钱包:
暂未查询
受害者勒索金额:
暂未查询
谈判记录:
地址: https://www.ransomware.live/nego/hunters/20240510
概述: 这个网页是关于一次网络勒索的谈判记录。谈判双方是黑客团队和一家被攻击的公司。黑客团队要求支付大量比特币作为赎金,而公司方面试图讨价还价。公司提到他们曾经历过类似的攻击,但当时没有支付赎金。这次,他们愿意支付一定数量的比特币,但远低于黑客团队的要求。双方在金额上存在很大分歧,黑客团队威胁要公开公司的数据,而公司则表示正在尝试自行恢复数据,不愿意支付高额赎金。谈判过程中,双方多次交换文件和证据,但最终未能达成协议。
结果:未成功
近期攻击案例:
变种演化:
暂未查询
IOC 信息
| 种类 | 详情 | 描述 |
|---|---|---|
| 哈希值(SHA-256) | c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e | 勒索软件示例 |
| 哈希值(SHA-256) | c83e982448ed1a0a52efa8c87db40f499b052e0495730d3324540bee10ffdb9a | 勒索软件示例 |
18363040868
