hunters-international

# Hunters International > [!warning] **Hunters International** é um grupo de ameaça atribuído a **Suspeito Russofono** ativo desde **2023**. ## Visão Geral **Hunters International** e um grupo RaaS ativo desde outubro de 2023, amplamente considerado um sucessor ou rebrand do **Hive ransomware** desarticulado pelo FBI em janeiro de 2023. Em menos de 2 anos, o grupo comprometeu mais de **300 organizacoes** em pelo menos 30 paises, com foco em América do Norte, Europa e Asia. O grupo desenvolve ransomware compativel com múltiplos sistemas operacionais: **Windows, Linux, FreeBSD, SunOS, VMware ESXi e ARM** - uma capacidade de cobertura incomum que facilita comprometer infraestruturas heterogeneas. A partir de agosto de 2024, o Hunters International adotou uma tática distintiva: **sem nota de resgaté nos arquivos** - em vez disso, o CEO e executivos-chave da organização vitima sao contatados diretamente. A empresa usa **OSINT de terceiros** para coletar informações sobre os executivos antes do contato. Em julho de 2025, o grupo anunciou encerramento e ofereceu decryptores gratuitos as vitimas. Pesquisadores apontam que o grupo já operava sob o nome **World Leaks** antes do encerramento oficial. ## Timeline - De Hive a World Leaks ```mermaid graph LR A["Jan 2023 FBI desarticula Hive Infiltração de 7 meses"] --> B["Out 2023 Hunters International emerge 60% overlap código Hive"] B --> C["Nov 2023 Fred Hutch Cancer Center 800.000 pacientes ameaçados"] C --> D["2024 300+ vítimas no leak site Tata Technologies + ICBC London"] D --> E["Ago 2024 Novo TTP: contato direto CEO Sem nota de resgate nos arquivos"] E --> F["Nov 2024 Carta de encerramento Pressão law enforcement"] F --> G["Jan 2025 World Leaks lançado Exfiltração pura sem crypto"] G --> H["Mar 2025 Tata Technologies India Dados de projetos vazados"] H --> I["Jul 2025 Encerramento oficial Decryptores gratuitos às vítimas"] classDef inicio fill:#e74c3c,stroke:#c0392b,color:#fff classDef operacao fill:#8e44ad,stroke:#7d3c98,color:#fff classDef transicao fill:#f39c12,stroke:#e67e22,color:#fff classDef fim fill:#27ae60,stroke:#229954,color:#fff class A inicio class B,C,D,E operacao class F,G transicao class H,I fim ``` > [!danger] Fred Hutch Cancer Center - Contato Individual com 800.000 Pacientes > Em dezembro de 2023, o Hunters International comprometeu o **Fred Hutchinson Cancer Center** (centro de pesquisa oncológica em Seattle) e exfiltrou dados de **mais de 800.000 pacientes com cancer**. O grupo nao apenas ameacou públicar os dados - foram **enviadas mensagens diretas a pacientes individuais**, exigindo US$50 por pessoa para que seus dados fossem deletados. Essa tática de extorsao direta ao individuo representa uma escalada na agressividade e nos danos humanos do ransomware. > [!info] Heranca do Hive - Código 60% Identico > Pesquisadores identificaram que o ransomware do Hunters International tem **60% de sobreposicao de código** com o **Hive ransomware** desarticulado pelo FBI em janeiro de 2023. Afiliados e operadores se referiam ao grupo como **"хайв" (Hive em russo)** e foram contatados pelos administradores do Hunters International usando as **mesmas contas de mensagens** associadas ao Hive. O grupo alega ter "comprado o código" - refutando ser um rebrand direto. > [!warning] World Leaks - Exfiltração Pura sem Criptografia > Em janeiro de 2025, os operadores lancaram o **World Leaks** como projeto sucessor, abandonando completamente a criptografia em favor de exfiltração e extorsao pura. O World Leaks equipa afiliados com o **Storage Software** (ferramenta customizada de exfiltração automatizada) e tem como objetivo o contato direto com CEOs e executivos-chave das organizacoes vitimas. Esse modelo reduz o risco operacional para os atacantes (sem código de ransomware detectavel) e e mais rapido e dificil de rastrear. ## Attack Flow - Extorsao de Dados com Alvo em Executivos ```mermaid graph TB A["🎣 Acesso Inicial Phishing / RDP + VPN CVE-2024-55591 FortiOS"] --> B["🔧 Painel de Afiliados Malware customizado por OS Windows/Linux/ESXi/FreeBSD/ARM"] B --> C["🔍 Discovery e Exfiltração Storage Software - metadata Dados enviados para servidor Hunters"] C --> D["📤 Contato Direto - CEO Desde ago/2024 - sem nota padrao CEO + executivos-chave contatados"] D --> E["💰 Negociacao no Painel Afiliado define valor 80% afiliado / 20% operadores"] E --> F["📢 Leak Site TOR Dados publicados se nao pagar Contato individual a pacientes"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef panel fill:#1a5276,color:#fff,stroke:#154360 classDef exfil fill:#e67e22,color:#fff,stroke:#d35400 classDef contact fill:#8e44ad,color:#fff,stroke:#6c3483 classDef nego fill:#196f3d,color:#fff,stroke:#145a32 classDef leak fill:#2c3e50,color:#fff,stroke:#1a252f class A access class B panel class C exfil class D contact class E nego class F leak ``` ## Campanhas e Vitimas de Destaque ### Fred Hutchinson Cancer Center (Novembro/Dezembro 2023) Maior impacto em termos de danos humanos diretos. Dados de 800.000 pacientes oncológicos comprometidos. O Hunters International enviou mensagens individuais a pacientes exigindo US$50 por pessoa para deletar os dados. A violação afetou registros de saúde altamente sensiveis de individuos em tratamento de cancer. ### Tata Technologies (Marco 2025) Comprometimento da **Tata Technologies**, subsidiaria de engenharia da Tata Group (India). Dados de projetos de clientes, propriedade intelectual e informações de parceiros comerciais foram exfiltrados e públicados no leak site. O ataque afetou a reputacao de um grupo com presenca global significativa. ### ICBC London (Setembro 2024) A subsidiaria londrina do **Industrial and Commercial Bank of China (ICBC)** - maior banco estatal chines - foi comprometida. O ataque a uma instituicao financeira de relevância sistemica demonstra o alcance do grupo a setores altamente regulados. ### Hoya Corporation / Jápao (Marco 2024) O grupo exigiu **US$10 milhões** da Hoya Corporation (empresa jáponesa de optica), com 6.500 funcionarios notificados sobre vazamento de dados. Esse caso representa um dos maiores resgates exigidos pelo grupo. ## Arsenal e Ferramentas - **Hunters International Ransomware** - Malware multi-plataforma (Windows/Linux/ESXi/FreeBSD/SunOS/ARM), sem extensao padrao na versao recente - **Storage Software** - Ferramenta customizada de exfiltração: coleta metadata de arquivos roubados e envia para servidores dos Hunters - **Painel de afiliados** - Interface web para registro de vitimas, customizacao de malware, chat com vitima e gestao de resgaté - **OSINT de terceiros** - Contratacao de servico de OSINT para profile de executivos das organizacoes vitimas ## Técnicas (TTPs) - **T1566** - Phishing como vetor de acesso inicial - **T1190** - Exploração de CVE-2024-55591 (FortiOS path traversal para RCE) - **T1486** - Criptografia de dados (versoes até agosto 2024) - **T1657** - Financial Theft - extorsao via ameaça de públicacao - **T1591** - Coleta de informações sobre a organização vitima (OSINT pre-extorsao) - **T1534** - Internal Spearphishing - contato direto com CEO/executivos - **T1048** - Exfiltração via Storage Software para servidores proprios **Técnicas MITRE referênciadas:** [[t1566-phishing|T1566]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1486-data-encrypted-for-impact|T1486]] ## Relevância LATAM O Brasil aparece explicitamente entre os paises mais afetados pelo Hunters International. O modelo operacional do grupo e relevante para o contexto regional: 1. **Manufatura** - Setor mais atacado do grupo globalmente; Brasil e potencia industrial com grande base de fabricantes vulneraveis 2. **Saúde** - Fred Hutch demonstra disposicao de atacar centros de pesquisa e oncologia; setor de saúde brasileiro tem dados de pacientes valiosos para extorsao 3. **Contato direto com CEO** - A tática de comunicação direta com executivos e especialmente eficaz em culturas organizacionais hierarquicas; dirigentes podem tomar decisoes de pagamento sem consultar TI/segurança 4. **LGPD** - Dados de saúde, dados financeiros e propriedade intelectual comprometidos tem implicacoes regulatorias diretas no Brasil O World Leaks (sucessor) representa ameaça continuada mesmo após o encerramento formal do Hunters International - o modelo de exfiltração pura e crescentemente adotado por grupos que buscam menor exposicao a acoes de law enforcement. ## Detecção e Defesa - Aplicar patch imediato para CVE-2024-55591 em dispositivos FortiOS/FortiProxy - Monitorar exfiltração de metadata via ferramentas customizadas (Storage Software) - Alertar para acesso incomum a sistemas ESXi e Linux em horarios fora do padrao - Implementar MFA em todos os acessos VPN e RDP externos - Treinar executivos (CEO, CFO, CISO) para protocolo de resposta a contato de extorsao - Monitorar para multiplatform ransomware (infeccoes simultaneas Windows + Linux) - Verificar integridade de backups de forma periodica - o grupo foca em exfiltração mas historicamente também criptografava **Mitigação referênciada:** [[m1051-update-software|M1051]] · [[m1032-multi-factor-authentication|M1032]] · [[m1053-data-backup|M1053]] ## Referências - [Bitdefender - Hunters International Shuts Down (Jul 2025)](https://www.bitdefender.com/en-us/blog/hotforsecurity/hunters-international-ransomware-group-shuts-down-but-will-it-regroup-under-a-new-guise) - [SecurityWeek - Hunters International Rebranding to World Leaks (Abr 2025)](https://www.securityweek.com/hunters-international-ransomware-gang-rebranding-shifting-focus/) - [Infosecurity Magazine - Hunters International Rebrand (Jul 2025)](https://www.infosecurity-magazine.com/news/ransomware-hunters-international/) - [Blackpoint Cyber - Hunters International Threat Profile (Ago 2025)](https://blackpointcyber.com/wp-content/uploads/2025/08/Hunters-International.pdf) - [Comparitech - Hunters International 250+ Attacks (Jul 2025)](https://www.comparitech.com/news/ransomware-gang-hunters-international-took-credit-for-250-cyber-attacks-before-shutting-down/) **Atores relacionados:** [[hive-ransomware|Hive]] · [[world-leaks|World Leaks]] **Setores alvejados:** [[manufacturing|Manufatura]] · [[healthcare|Saúde]] · [[financial|Financeiro]] **CVEs explorados:** [[cve-2024-55591|CVE-2024-55591]]