自 2023 年下半年以来，Hunters International（猎人国际）以其独特的勒索软件即服务（RaaS）模式悄然崛起，其技术手法与曾令人闻风丧胆的 Hive 勒索软件组织惊人地相似，迅速在全球范围内引发了广泛关注与警惕。在 Hive 组织遭受多国执法机构联合打击之后，Hunters International 的现身无疑揭示了网络犯罪势力的顽强再生能力与非凡的适应性。

Hunters International 是何方神圣？

Hunters International，这一网络犯罪组织，在 Hive 陨落之际悄然崛起，成为众人瞩目的焦点。该组织于 2023 年第三季度初露锋芒，其技术架构与 Hive 如出一辙，不禁让人猜测其背后是否隐藏着 Hive 的“死灰复燃”。网络犯罪界的韧性在此展露无遗，即便面对严厉打击，依然能迅速调整策略，持续作恶。Hunters International 的崛起，无疑是对全球网络安全领域的一次严峻考验。

Hive 死而复生？

Hunters International 的勒索技术和软件版本与 Hive 非常相似，它们可能来自于相同的技术源头，或二者之间进行了技术转移。

2023 年 1 月，多国机构、欧洲刑警组织以及其他相关欧洲机构组成的联盟，对 Hive 勒索软件团伙进行了打击。自 2021 年 6 月以来，该团伙共勒索了全球 1500 多名受害者，涉案金额超过 1 亿美元，目标包括医疗、教育和金融等行业。

在拆除 Hive 网络的行动中，联合机构通过七个月的卧底行动获得了该网络的访问权限，为 300 多个受害者提供了解密密钥，挽回了约 1.3 亿美元的赎金。尽管没有进行逮捕，但此次行动对 Hive 的运营造成了重大打击。最近的调查显示， Hive 领导层可能已经主动终止了运营，并将资产转移给了 Hunters International。

Hunters International 的技术和策略

X（前身为 Twitter）的安全研究人员表示，Hunters International 首次发布的代码和 Hive 的相似度大约为 60%。

针对这些指控，Hunters International 表示，他们并非 Hive 的衍生，而是作为一个独立实体接管了 Hive 的源代码和基础设施。他们的主要运营重点是盗取数据，而非加密数据，与 Hive 的做法有所区别。

塞讯安全实验室追踪到该组织明显倾向于盗取数据，所有受害者都经历了数据泄露。Hunters International 似乎重新设计了 Hive 的勒索软件，减少命令行选项和优化加密密钥管理，使得恶意软件更简洁、易于操作。他们用独特的方法将加密密钥嵌入到加密文件中，简化支付赎金的受害者的解密过程，进一步提升了攻击效果。

目标计划

Hunters International 的攻击目标涵盖了全球多个行业，受害者包括医疗、汽车、制造、物流、金融、教育和食品等行业，无差别攻击所有脆弱实体。

该组织非常活跃，攻击了世界各地的许多不同组织。他们的大多数目标在美国，还攻击了欧洲、加拿大、巴西，甚至远到新西兰和日本的公司和组织。他们广泛撒网，没有特定目标，只是持续寻找敲诈的机会，针对那些可能没有强大网络防护或迫切需要数据的目标展开行动，无论是能源公司、医院、学校还是动物园，都在他们的攻击范围内。

这种无差别攻击的特点常见于采用勒索软件即服务（RaaS）模型的组织，受害群体的特征突显了该组织的机会主义特性及其渗透各种行业的能力，这给全球各类组织带来了很大的威胁。

攻击的背后

随着对 Hunters International 的攻击活动的深入分析，其数据泄露网站逐渐浮出水面。通过域名注册信息与电子邮件地址的追踪分析，调查人员发现该组织与尼日利亚之间似乎存在着某种微妙的联系。2024 年 1 月 22 日，Hunters International 推出了一个非暗网版本的数据泄露网站，名称与原网站相同。

他们重新启用了一个自 2021 年以来未被使用的网站，使用了一个假名来掩盖他们的真实身份，让追踪变得更困难了。在调查过程中，调查人员发现了与尼日利亚有关的电子邮件地址。然而，这些电子邮件很可能只是用来误导调查人员的伎俩，真假难辨。

Hunters International 的勒索软件造成了重大的数据泄露、经济损失以及受影响组织的声誉损害。对此，塞讯验证建议采取主动全面的防御措施，包括定期备份数据、对员工进行钓鱼演练与安全意识培训，定期进行安全防御有效性验证，参与威胁情报共享，增强对不断演变的网络威胁的抵御能力。

Hunters International 的出现体现了数字时代网络威胁的持续性和演变性。尽管政府已经为阻断勒索付出了大量努力，但像 Hunters International 这样的组织仍然对全球网络安全构成了重大风险，持续验证、主动防御策略以及网络安全社区间国际合作，将有效减轻这些威胁。