# Hunters International Ransomware ## Visão Geral **Hunters International** é um grupo de ransomware surgido em outubro de 2023, operando um ransomware escrito em **Rust** com aproximadamente **60% de sobreposição de código com o ransomware [[hive-ransomware]]** - desmantelado pelo FBI e Europol em janeiro de 2023. Isso levou pesquisadores a concluir que ex-operadores do Hive adquiriram ou mantiveram acesso ao código-fonte e relançaram as operações sob nova marca. O grupo opera um modelo RaaS (Ransomware-as-a-Service) com foco em **exfiltração de dados** e dupla extorsão. Em novembro de 2024, anunciaram encerramento das operações, mas sinais indicam ressurgimento em 2025. O backdoor [[sharprhino]] (RAT escrito em C#) é usado como ferramenta de acesso inicial e movimento lateral. ## Características Técnicas ### Ransomware em Rust O uso de Rust oferece vantagens operacionais: - **Desempenho**: criptografia rápida com ChaCha20 + RSA-OAEP - **Resistência a análise**: tipagem estática e ausência de garbage collector dificultam reversão - **Cross-platform**: binários para Windows e Linux (ESXi) compilados do mesmo código - **Similaridade com Hive**: ~60% do código compartilhado indica herança direta ### Esquema de Criptografia - **Algoritmo**: ChaCha20-Poly1305 para cifragem de arquivos - **Chave**: RSA-OAEP para proteção da chave de sessão - **Extensão**: arquivos cifrados recebem extensão `.locked` - **Nota de resgaté**: arquivo `Contact Us.txt` criado em cada diretório afetado - **Velocidade**: criptografia intermitente (skip de partes do arquivo) para maior velocidade em arquivos grandes ### SharpRhino - Backdoor C# O backdoor [[sharprhino]] é distribuído via campanha de typosquatting, simulando ferramentas de segurança como "Advanced IP Scanner". Escrito em C# e ofuscado, fornece: - Shell remoto via named pipes - Injeção de PowerShell para execução de comandos - Persistência via chave de registro `Run` - Download e execução de ferramentas adicionais ## Diagrama de Cadeia de Ataque ```mermaid graph TB A["Typosquatting<br/>Advanced IP Scanner Falso"] --> B["SharpRhino RAT<br/>C# Backdoor Installer"] B --> C["Persistência<br/>Registro Run Key"] C --> D["Reconhecimento AD<br/>e Movimento Lateral"] D --> E["Exfiltração de Dados<br/>Antes da Criptografia"] E --> F["Hunters International<br/>Rust Ransomware"] F --> G["Criptografia ChaCha20<br/>Extensao .locked"] G --> H["Dupla Extorsao<br/>Pagamento + Dados"] ``` ## Diagrama de Similitude com Hive ```mermaid graph TB A["Hive Ransomware<br/>Encerrado Ján 2023"] --> B["Código-fonte Hive<br/>~60 percent sobreposicao"] B --> C["Hunters International<br/>Out 2023 - Novo branding"] C --> D["Variante Windows<br/>Rust x64"] C --> E["Variante Linux<br/>Target VMware ESXi"] D --> F["Site de Vazamento<br/>Nova infraestrutura TOR"] E --> F ``` ## Campanhas e Alvos ### Perfil de Vítimas O grupo demonstrou preferência por organizações com dados sensíveis e alta capacidade de pagamento: - **Setor de saúde** ([[healthcare|saúde]]): hospitais, operadoras de saúde, laboratórios - **Setor industrial** ([[manufacturing|manufatura]]): fabricantes de componentes críticos - **Tecnologia** ([[technology|tecnologia]]): empresas de software e serviços - **Educação**: universidades e institutos de pesquisa **Brasil**: o grupo tem alvos documentados em organizações brasileiras, especialmente no [[financial|setor financeiro]] e de [[technology|tecnologia]]. ### Anúncio de Encerramento (Nov 2024) Em novembro de 2024, o grupo anunciou encerramento das operações e transformação em plataforma exclusiva de exfiltração de dados ("World Leaks"). Pesquisadores detectaram sinais de ressurgimento com nova infraestrutura em 2025, sugerindo que o "encerramento" foi estratégico para evitar pressão de autoridades. ## Relevância para LATAM e Brasil > [!latam] Relevância para o Brasil > **Hunters International** tem **alvos confirmados no Brasil** nos setores de saúde e tecnologia, com registros no site de vazamentos do grupo. O modelo **RaaS aberto** permite que afiliados locais operem o ransomware contra alvos LATAM. O sistema de saúde brasileiro — hospitais públicos e privados — é vulnerável ao mesmo perfil de ataque. O anúncio de encerramento em novembro de 2024 e transformação em "World Leaks" foi provavelmente estratégico; sinais de ressurgimento em 2025 indicam continuidade da ameaça. - **Alvos confirmados no Brasil**: registros no site de vazamentos indicam vítimas brasileiras nos setores de saúde e tecnologia - **RaaS aberto**: a operação RaaS permite que afiliados locais operem o ransomware contra alvos LATAM - **Saúde como alvo prioritário**: o sistema de saúde brasileiro (hospitais públicos e privados) é vulnerável ao mesmo perfil de ataque - **Dados sensíveis**: registros médicos e financeiros de pacientes brasileiros têm alto valor no mercado underground ## Detecção e Mitigação ### Indicadores de Comprometimento **Comportamentais:** - Instalador falso de "Advanced IP Scanner" ou "Angry IP Scanner" executando SharpRhino - Processo C# com named pipes para comunicação entre componentes - Volume alto de operações de I/O em disco (criptografia em massa) - Exclusão de shadow copies via `vssadmin delete shadows /all /quiet` - Execução de `wbadmin delete catalog` para remoção de backups **Forenses:** - Extensão `.locked` em arquivos cifrados - Arquivo `Contact Us.txt` em múltiplos diretórios - Binário Rust com seção `.rdata` contendo strings características do ChaCha20 ### Mitigações Recomendadas Implementar [[m1057-data-backup|M1057]] com backups offline imutáveis e testados regularmente. Aplicar [[m1049-antivirus|M1049]] com detecção comportamental para ransomware. Usar [[m1038-execution-prevention|M1038]] para bloquear instalação de software não autorizado. Monitorar via [[ds0009-process-creation|DS0009]] para execução de `vssadmin` por processos não administrativos. Aplicar [[m1030-network-segmentation|M1030]] para limitar propagação. ## Referências - [1](https://www.sentinelone.com/labs/hunters-international-ransomware/) SentinelOne - Hunters International: Hive Ransomware Rebranded (2023) - [2](https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-possible-rebrand-of-hive/) BleepingComputer - Hunters International: Possible Hive Rebrand (2023) - [3](https://unit42.paloaltonetworks.com/sharprhino-rat-hunters-international/) Unit 42 - SharpRhino: Hunters International RAT Analysis (2024) - [4](https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-shuts-down/) BleepingComputer - Hunters International Shuts Down Operations (2024) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.hunters_international) Malpedia - Hunters International Entry (2024)