零零信安
一、事件背景
勒索软件团伙Hunters International于2025年7月3日本周四突然宣布终止其勒索软件即服务(RaaS)业务,并承诺向受害者提供免费解密工具。该团伙已从其暗网数据泄露网站上删除所有受害者数据,并发布声明确认了此次关闭。
Hunters International在声明中表示:“Hunters International谨此向您通报关于我们运营的一项重要决定。经过慎重考虑并权衡近期事态发展,我们已决定关闭‘Hunters International’项目。此项决定并非轻率之举,我们深知其对与我们合作的组织所造成的影响”。
同时还提到:“我们理解勒索软件攻击带来的挑战,希望此举能帮助您快速有效地恢复关键信息”。 “如需获取解密工具并获得恢复过程的指导,请访问我们的官方网站”。
截止本篇文章撰写之时,其暗网数据泄露网站上下架了此通告:
二、Hunters International是谁
Hunters international于2023年10月在暗网上发布第一篇勒索信息,该组织因其源代码有60% 与2023年1月被FBI攻破的黑客组织hive相似,因此被广泛认为是黑客组织hive的衍生,随后该组织在其暗网官网上发布了跟hive并无关系的声明。该组织活跃度很高,从2023年10月发布第一篇勒索信息开始,到2025年7月为止该黑客组织共计发布了440篇勒索信息,平均每个月有超15名受害者受到该组织的勒索:
0.zone链接:
这些受害者的行业大多为:卫生医疗业、能源、制造业、党政军和社会、教育、批发零售业等。遭受过Hunters International攻击勒索的知名公司或机构有:美国法警局、日本光学巨头豪雅、塔塔科技、北美汽车经销商AutoCanada、美国海军承包商Austal USA、特斯拉、space X、江河集团等。
Hunters international拥有暗网tor地址的同时也有明网地址,两个网址内容相同:
Hunters International曾采用一种有别于其他勒索软件团伙的赎金发放策略。与其他通常设定7天赎金支付期限的组织不同,Hunters International会根据受害公司的收入和规模,以及所获取数据的敏感程度来调整其勒索手段。
针对企业抢夺属于高度机密时的数据,Hunters International会采取一种“批量释放”数据的策略。他们会在大约两个月的周期内,按照数据的顺序从低到高逐步释放被窃取数据,例如从人事数据开始,然后是财务数据,最后是高度机密的工程数据。这种策略旨在持续施压救援,以阻止其支付赎金以阻止更重要数据的丢失。然而如果受害者是小型公司且勒索尝试失败,Hunters International则会一次性公开所有窃取的数据,而不是分批释放:
除了传统的企业勒索手段外,Hunters International 还创新了一种极其恶劣的敲诈手段,尤其是在医疗行业。当他们入侵医疗机构时,他们会专门识别并提取患者数据。然后,他们采用一种新颖的双重勒索方案,不仅向医疗机构索要赎金,还会直接联系受影响的患者。他们会以每条记录 50 美元的价格向个人出售个人信息,声称支付这笔费用可以防止其数据进一步泄露。
这种策略在针对一家知名医疗美容公司的攻击中也曾出现过。在该案例中Hunters International 直接向这家整形诊所的患者勒索,威胁称若不支付赎金,就公布他们术前的照片。这凸显了该组织利用高度个人化和敏感数据获取最大利益的意图。
三、勒索软件“退场”背后的虚实交错
早在2024 年 11月,猎人国际组织便已向其下属机构发布了一条关于逐步关闭其业务的消息,并告知其下属机构已开始将品牌重塑为“World Leaks”。Hunters International的领导人物告诉他们的附属组织,勒索软件游戏不再像以前那样有利可图,而且随着国际执法部门加大打击文件加密恶意软件的力度以及调查人员的紧追不舍,这一切都变得太危险了。然而仅在几周后发布的后续消息似乎与上述说法相互矛盾。该后续消息称“猎人国际”已经回归,这可能是由于行动内部出现分裂冲突,或者其他未知原因所致。
World Leaks活动十分活跃,采用勒索模式运作,即攻击者窃取公司数据并索要赎金,而无需部署任何类型的文件加密。该组织的暗网页面几乎与 Hunters international的风格完全相同,World Leaks迄今为止共发布26篇勒索通告:
0.zone链接:
因此此次事件中如果“猎人国际”最终真的放弃勒索软件,他们或将全部重心转为World Leaks模式(纯数据勒索模式,即不再加密文件)仅通过窃取数据并威胁公开来勒索受害者。
零零信安为政府和各类企事业单位提供最专业的深网监测、数据泄露监测产品和服务,合作咨询请扫描以下二维码,联系客服: