# Hunters International Campaign 2023 > [!warning] > Grupo Ransomware-as-a-Service ativo desde outubro de 2023, com mais de 285 vítimas confirmadas em múltiplos setores. Apresenta código Rust reutilizado do **Hive ransomware** desativado pelo FBI, sugerindo continuidade operacional ou venda de ativos. Brasil figura entre os países-alvo. ## Visão Geral O Hunters International emergiu em outubro de 2023 como um novo grupo de Ransomware-as-a-Service (RaaS) com uma característica técnica distintiva: seu payload foi construído em Rust, utilizando criptografia ChaCha20-poly1305 combinada com RSA-OAEP — esquema idêntico ao do [[hive-ransomware]], desativado em janeiro de 2023 pela operação do FBI. Pesquisadores da Bitdefender e da Malware Hunter Team identificaram sobreposição de código superior a 60%, levantando hipóteses de que os desenvolvedores do Hive venderam ou licenciaram o código-fonte após a derrubada da infraestrutura. O grupo opera um modelo clássico de RaaS com portal de vazamento de dados (`hunters.to`) onde lista vítimas e pública amostras de dados para pressionar pagamentos. Em menos de um ano de operação, o Hunters International acumulou mais de 285 vítimas documentadas em pelo menos 25 países, posicionando-se entre os grupos de ransomware mais prolíficos de 2024. Setores prioritários incluem manufatura, saúde, serviços financeiros e infraestrutura governamental. Em 2024, o grupo desenvolveu o backdoor **SharpRhino** - um RAT em C# distribuído via sites typosquatting que imitavam ferramentas legítimas de segurança como Angry IP Scanner. O SharpRhino estabelece persistência via modificações no registro e executa comandos PowerShell remotamente, fornecendo acesso inicial para implantação posterior do ransomware. Para a América Latina, o Hunters International representa uma ameaça crescente. Empresas brasileiras dos setores de manufatura, saúde e financeiro foram identificadas no portal de vazamento do grupo, alinhado com o padrão global de vitimização. O modelo RaaS amplifica o alcance do grupo ao permitir que afiliados independentes conduzam ataques com a infraestrutura e o payload do Hunters International. ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>Exploração de VPN/RDP<br/>Phishing + SharpRhino"] --> B["🔐 Estabelecimento de Acesso<br/>Credenciais válidas<br/>Serviços externos expostos"] B --> C["🔍 Reconhecimento Interno<br/>Enumeração de AD<br/>Identificação de backups"] C --> D["📦 Coleta e Exfiltração<br/>Dados sensíveis extraídos<br/>Para C2 Hunters Int."] D --> E["💥 Implantação do Payload<br/>Hunters Int. Ransomware<br/>Rust + ChaCha20 + RSA-OAEP"] E --> F["🔒 Criptografia + Impacto<br/>Arquivos cifrados<br/>Serviços e backups destruídos"] F --> G["💰 Dupla Extorsão<br/>Ransom + ameaça<br/>de publicação em hunters.to"] ``` **Legenda:** [[T1190-exploit-public-facing-application|T1190]] · [[T1133-external-remote-services|T1133]] · [[T1486-data-encrypted-for-impact|T1486]] · [[T1490-inhibit-system-recovery|T1490]] ## Cronologia ```mermaid timeline title Hunters International - Linha do Tempo Jan 2023 : FBI derruba infraestrutura do Hive : Código-fonte potencialmente vendido Out 2023 : Hunters International emerge com payload Rust : Portal hunters.to ativado Nov-Dez 2023 : 50+ vítimas no portal : Foco em manufatura e saúde Jan-Jun 2024 : 200+ vítimas acumuladas : Expansão global - 25+ países Jul 2024 : SharpRhino RAT descoberto pela Quorum Cyber : Distribuído via typosquatting Ago 2024 : 285+ vítimas confirmadas : Entre top 5 RaaS ativos 2025 : Anúncio de migração para data theft exclusivo : Abandono do modelo ransomware ``` ## TTPs Principais | Tática | Técnica | ID | Detalhe | |--------|---------|----|---------| | Acesso Inicial | Exploit de Aplicação Pública | [[T1190-exploit-public-facing-application\|T1190]] | VPN e serviços expostos | | Acesso Inicial | Contas Válidas | [[T1078-valid-accounts\|T1078]] | Credenciais roubadas ou compradas | | Acesso Inicial | Serviços Externos Remotos | [[T1133-external-remote-services\|T1133]] | RDP, VPN, Citrix | | Execução | PowerShell | [[T1059-001-powershell\|T1059.001]] | Via SharpRhino backdoor | | Impacto | Dados Criptografados | [[T1486-data-encrypted-for-impact\|T1486]] | ChaCha20-poly1305 + RSA-OAEP | | Impacto | Interrupção de Serviços | [[T1489-service-stop\|T1489]] | Antivírus e backup services | | Impacto | Inibição de Recuperação | [[T1490-inhibit-system-recovery\|T1490]] | Shadow copies deletadas | | Exfiltração | Exfil via Canal C2 | [[T1041-exfiltration-over-c2-channel\|T1041]] | Dados para portal hunters.to | ## Vítimas e Impacto - **285+ organizações** em 25+ países em menos de 12 meses - Setores mais afetados: [[manufacturing|manufatura]] (23%), [[healthcare|saúde]] (19%), [[financial|financeiro]] (15%), [[government|governo]] (12%) - **Brasil**: múltiplas vítimas identificadas no portal de vazamento - Pagamentos de resgate reportados entre $500k e $5M por incidente - Exfiltração de dados confidenciais como pressão adicional (dupla extorsão) ## Conexão com Hive Ransomware O Hunters International herdou ou adquiriu código do [[hive-ransomware]] desativado pelo FBI. Indicadores técnicos de sobreposição: - Mesmo criptossistema: **ChaCha20-poly1305** para dados + **RSA-OAEP** para chave - Estrutura de notas de resgate similares - Extensão de arquivo criptografado: `.HUNTERSINTERNATIONAL` - Strings de código Rust com padrões idênticos ao Hive ## Relevância LATAM O Brasil e outros países da América Latina figuram entre as regiões-alvo do Hunters International. O modelo RaaS facilita ataques direcionados por afiliados locais com conhecimento do mercado regional. Setores vulneráveis incluem o [[manufacturing|industrial]] e [[healthcare|saúde]], que frequentemente operam com sistemas legados e menor maturidade em segurança. Organizações brasileiras devem priorizar proteção de acessos externos (VPN, RDP) e reforço de estratégias de backup imutável como defesas primárias. ## Detecção e Defesa - Monitorar autenticações em VPN e RDP fora do horário comercial - Implementar MFA em todos os acessos externos (VPN, RDP, Citrix) - Detectar execução de ferramentas de enumeração AD (`net user`, `nltest`) - Alertar sobre deleção de shadow copies via `vssadmin.exe delete shadows` - Monitorar downloads de ferramentas com nome similar a `angry-ip-scanner` - potenciais droppers do SharpRhino - Manter backups imutáveis offline (estratégia 3-2-1 com cópia air-gapped) - Consultar [[M1049-antivirus-antimalware|M1049]], [[M1042-disable-or-remove-feature-or-program|M1042]] e [[M1053-data-backup|M1053]] para controles específicos ## Referências - [1](https://www.bitdefender.com/blog/labs/hunters-international-takes-over-hive-ransomware/) Bitdefender - Hunters International Takes Over Hive Ransomware (2023) - [2](https://www.quorumcyber.com/blog/sharprhino-rat-hunters-international/) Quorum Cyber - SharpRhino RAT Used by Hunters International (2024) - [3](https://www.cisa.gov/stopransomware/hunters-international) CISA - Hunters International Ransomware Advisory (2024) - [4](https://attack.mitre.org/software/S1100/) MITRE ATT&CK - Hunters International (S1100) - [5](https://therecord.media/hunters-international-ransomware-hive-code) The Record - Hunters International Using Hive Ransomware Code (2023)