Hunters International

Überblick

Hunters International ging aus dem Erwerb des Quellcodes der Ransomware Hive hervor, der kurz vor dessen Zerschlagung samt Webauftritt und älteren, in Golang und C entwickelten Versionen veräußert wurde; belegt ist dieser Kauf allerdings nur durch Aussagen der Akteure selbst, nicht durch konkrete Nachweise. Die Gruppe gab an, jene Fehler im Hive-Code behoben zu haben, die in einigen Fällen eine Entschlüsselung der Dateien verhinderten. Charakteristisch ist die erklärte Ausrichtung der Gruppe: Die Verschlüsselung von Dateien stehe nicht im Vordergrund. Stattdessen setzt Hunters International vorrangig auf den Diebstahl von Daten, um die Opfer im Zuge der Erpressung unter Druck zu setzen. Damit verlagert sich der Schwerpunkt von der reinen Verschlüsselung hin zur Abschöpfung sensibler Informationen, deren angedrohte Veröffentlichung als zentrales Druckmittel dient. Die Gruppe knüpft technisch und organisatorisch unmittelbar an das übernommene Hive-Erbe an.

Taktiken & Vorgehen

Zur Erkundung der Zielumgebung setzt Hunters International Werkzeuge wie den „Advanced IP Scanner“ und den „Advanced Port Scanner“ ein, mit denen erreichbare Systeme und offene Dienste im Netzwerk aufgespürt werden. Ergänzend dienen die Techniken Process Discovery, System Information Discovery sowie File and Directory Discovery dazu, laufende Prozesse, Betriebssystemdetails und Dateibestände zu erfassen. Für den Abfluss der erbeuteten Daten kommen „RClone“ und „WinSCP“ zum Einsatz. Die Ausführung der Schadprogramme erfolgt über Native API und Shared Modules, Persistenz wird durch automatische Ausführung beim Systemstart oder Login erreicht. Zur Tarnung nutzt die Gruppe obfuskierte Dateien und versucht, Schutzmechanismen zu beeinträchtigen (Impair Defenses). Die Kommunikation zur Steuerung läuft über Anwendungsschicht- und Web-Protokolle; abschließend werden Daten mittels Data Encrypted for Impact verschlüsselt.

Schutzmaßnahmen

Da zur Netzwerkerkundung Werkzeuge wie der „Advanced IP Scanner“ und der „Advanced Port Scanner“ genutzt werden, sollte interner Scan- und Erkundungsverkehr durch Netzsegmentierung und Überwachung auffälliger Port- und Hostabfragen eingegrenzt werden. Gegen den mit „RClone“ und „WinSCP“ durchgeführten Datenabfluss sollte ausgehender Datenverkehr überwacht und auf ungewöhnliche Übertragungen zu externen Zielen geprüft werden. Der Persistenz über automatische Ausführung beim Systemstart sollte durch Kontrolle der Autostart-Konfigurationen begegnet werden. Versuchen, Schutzmechanismen zu beeinträchtigen (Impair Defenses), sollte mit manipulationssicher konfigurierten und überwachten Sicherheitslösungen entgegengewirkt werden. Verdächtige Prozess- und Systemerkundungsaktivitäten sowie über Web-Protokolle abgewickelte Steuerungskommunikation sollten erkannt und blockiert werden.