異例の展開として、ランサムウェアグループHunters Internationalが活動の終了を発表しました。しかし、グループの活動に詳しい関係者はInfosecurityに対し、実際には関係者がリブランディングを行い、サイバー犯罪の手口を進化させようとしている可能性が高いと語っています。
6月3日、Hunters Internationalのデータリークサイトに英語で掲載されたメッセージで、Hunters Internationalの「プロジェクト」終了が確認されました。
声明ではまた、「善意のしるし」として、このランサムウェア・アズ・ア・サービス(RaaS)シンジケートが、同グループのランサムウェアによって被害を受けたすべての企業に対し、無料の復号化ソフトウェアを提供すると述べられています。
「私たちの目標は、身代金を支払うことなく暗号化されたデータを復旧できるようにすることです」と声明は述べています。
Hunters Internationalは、2023年1月に国際的な法執行機関の作戦で壊滅した別のRaaSグループであるHiveと関係があるとされています。
ランサムウェア追跡サイトRansomware.liveによると、Hunters Internationalは2023年10月から活動しており、これまでに307件の被害を主張しています。
これには、ビバリーヒルズにオフィスを持つ米国の美容外科クリニック(2023年10月)、中国国有銀行である中国工商銀行(ICBC)のロンドン支店(2024年9月)、AutoCanada(2024年9月)、Tata Technologies(2025年3月)などが含まれます。
グループが最後に被害を主張したのは、2025年5月27日にデータリークサイトで公開されました。
グループのメッセージにもかかわらず、執筆時点ではグループのウェブサイト上に復号化キーは提供されていません。
Hunters International、暗号化に別れを告げる
6月3日のメッセージ以前にも、Hunters Internationalの管理者は暗号化を用いたサイバー恐喝の停止に前向きな姿勢を何度か示していました。
Group-IBによる複数の報告によれば、グループの運営者は2024年11月17日、パートナーに対しプロジェクト終了を知らせる内部メモをロシア語で発表しました。
「いわば『別れの手紙』の中で、グループのリーダーは、政府機関による措置や世界的な地政学の影響により、ランサムウェアビジネスがリスクが高く、利益が出なくなったと主張しました」とGroup-IBの研究者は2025年4月2日に発表したレポートで説明しています。
その結果、Hunters Internationalの運営者は2025年1月1日にWorld Leaksという新プロジェクトを立ち上げました。
被害者のデータを暗号化して二重の恐喝を行う代わりに、新グループは暗号化を行わず、恐喝のみを行う攻撃にシフトしました。
Ransomware.liveによると、World Leaksは2025年5月18日から活動しており、Hunters Internationalが最後の被害を主張した数日前から< a href="https://www.ransomware.live/group/worldleaks" target="_blank">これまでに31件の被害を主張しています。
しかし、Group-IBがInfosecurityに共有したレポートでは、Hunters Internationalの話は単なるリブランディング以上に複雑である可能性が示唆されています。
このレポートは、2025年1月にTLP:Amber通知として同社の顧客に最初に共有され、Hunters Internationalの管理者が1月18日にグループのアフィリエイトパネルで「プロジェクトはまだ閉鎖しない」と通知したことが示されています。
ロシア語から英語に翻訳されたそのメモには、「データ暗号化プロジェクトの作業を再開するという集団的な決定が下されたことをお知らせします」と記されていました。
Group-IBのレポートによれば、運営者は新たな「プロジェクト」であるWorld Leaksに「多くのバグ」があったため、この決定が下されたと主張しています。
サイバーセキュリティブロガーでDataBreaches.netの運営者である‘Dissent Doe’は、7月3日の報告で、World Leaksのスポークスパーソンが、World Leaksを始めたグループが暗号化の使用を巡って一部のHunters International管理者と袂を分かったと語ったと伝えています。
「私たちは彼らの一員でしたが、意見や考え方の違いから分かれました。主な違いは、私たちは企業の業務を妨げてまで被害を与えたくないという点です」とスポークスパーソンは述べたとされています。
「データ恐喝は、企業の業務を停止させることなく、また顧客の個人データを守るために全体的なサイバーセキュリティを強化できるため、はるかに優れたビジネスモデルです」とも付け加えました。
しかし、活動停止を発表する最新の英語メッセージで、Hunters InternationalはWorld Leaksや、かつてRaaSグループに関与していた人物がサイバー恐喝活動を継続する事実については一切言及していません。
World Leaksは、2025年6月にスイス銀行UBSのサードパーティーサプライヤーに対してサイバー恐喝キャンペーンを行い、13万人のUBS従業員のデータがダークウェブに公開されたと考えられています。
World Leaksへのステルスリブランディング
Infosecurityの取材に対し、Group-IBのスポークスパーソンは、同社の脅威インテリジェンスアナリストが「高い確信を持って」World LeaksはかつてHunters Internationalの運営に関与していた人物によって運営されているプロジェクトだと評価したと述べました。
Hunters Internationalの背後にいるグループはWorld Leaksとの関係を公には認めていませんが、Group-IBのスポークスパーソンは、内部コミュニケーションからWorld Leaksへの組織的な移行が示唆されていると述べています。
「[7月3日]のメッセージでWorld Leaksへの言及が一切ないのは意図的であり、物語のコントロールや帰属の遅延を狙ったものと思われます」とも付け加えました。
脅威インテリジェンスアナリストは、以前Hunters Internationalを運営していた管理者グループが、活動を停止したグループと、World Leaksの名の下で暗号化なしの恐喝活動を継続したグループの2つに分裂した可能性があることを認めています。
しかし、彼らはこのシナリオを「二次的で確信度の低い仮説」と考えています。
むしろ、管理者たちが「World Leaksをランサムウェアのレッテルから遠ざける」ためにリブランディングを行った可能性が高いとしています。
「二重恐喝と強く結びついていたHunters Internationalの名前で活動を続けると、被害者を混乱させたり、誤った帰属につながる可能性があります。既知の存在から距離を置くことで、グループは即時の監視や悪評を回避できます。この戦術は、新たな偽装のもとで違法活動を継続しつつ、運営の健全性を装うのにも役立ちます。活動停止発表のタイミングや曖昧さもこの解釈を強化します」とGroup-IBは述べています。
最後に、Group-IBのアナリストは、無料の復号化キーのリリースが本当に効果的かどうかは確認できていないものの、グループが主張するような単なる「善意のしるし」とは程遠いと評価しています。
むしろ、この動きはHunters InternationalとWorld Leaksの公的な関連付けを防ぐための、もう一つの「評判操作の戦術」だとアナリストは考えています。
翻訳元: https://www.infosecurity-magazine.com/news/ransomware-hunters-international/