Hunters International cesa su actividad: libera descifradores gratuitos para sus víctimas y pone fin a su RaaS

Introducción

En un giro inesperado dentro del panorama del cibercrimen, el conocido grupo Hunters International, responsable de una de las operaciones Ransomware-as-a-Service (RaaS) más activas de los últimos años, ha anunciado el cierre definitivo de su infraestructura y la publicación de descifradores gratuitos para todas sus víctimas. Este anuncio, realizado a través de canales underground y confirmado por investigadores de seguridad, marca un hito relevante en la lucha contra el ransomware, especialmente por la política de liberación de herramientas de recuperación sin coste para los afectados.

Contexto del Incidente

Hunters International irrumpió en la escena tras la supuesta adquisición de activos de Hive, otro grupo de ransomware desmantelado en 2023 tras una operación internacional coordinada por Europol y el FBI. Desde entonces, Hunters International ha operado bajo un modelo RaaS, permitiendo a afiliados sin conocimientos avanzados desplegar variantes de su ransomware a cambio de un porcentaje de los rescates cobrados. Según datos de Coveware y Chainalysis, en 2023 y principios de 2024, Hunters International estuvo implicado en aproximadamente el 8% de los incidentes de ransomware reportados a nivel global, afectando principalmente a organizaciones de sectores como manufactura, servicios profesionales y educación en Europa y Norteamérica.

Detalles Técnicos

El ransomware de Hunters International se caracteriza por emplear técnicas de doble extorsión, cifrando los datos de las víctimas y exfiltrando información sensible para aumentar la presión durante la negociación. Sus muestras identificadas han sido asociadas a los siguientes CVE explotados en campañas recientes:

– CVE-2023-27350 (PaperCut NG/MF: ejecución remota de código)
– CVE-2023-23397 (Microsoft Outlook: elevación de privilegios)
– CVE-2023-28252 (Windows Common Log File System Driver: ejecución de código en modo kernel)

A nivel de TTPs (MITRE ATT&CK), el grupo ha destacado por el uso de credenciales comprometidas (T1078), ejecución de scripts PowerShell ofuscados (T1059.001), y despliegue de Cobalt Strike como framework de post-explotación. Los IoC asociados incluyen hashes SHA256 de payloads, direcciones IP de servidores C2 y dominios utilizados en la infraestructura de exfiltración.

El descifrador ahora liberado permite revertir el cifrado realizado por las versiones v1.0 a v2.6 del ransomware, y ha sido verificado por equipos de respuesta a incidentes como Kaspersky y Emsisoft. En foros underground, los operadores han publicado enlaces directos a los binarios y manuales de uso, recomendando su descarga únicamente desde fuentes oficiales para evitar troyanización.

Impacto y Riesgos

El cese de actividad y la publicación de descifradores afectan potencialmente a cientos de organizaciones, algunas de las cuales hasta ahora no habían negociado o no pudieron recuperar sus datos. Sin embargo, el riesgo persiste: la exposición de datos exfiltrados sigue vigente en la dark web, y aún existen activos críticos comprometidos. Además, el código base del ransomware podría ser reutilizado o bifurcado por otros actores, perpetuando la amenaza bajo nuevos nombres o variantes.

Según datos de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), los costes medios de recuperación tras un ataque de ransomware en la UE superan los 1,6 millones de euros por incidente, sin contabilizar sanciones bajo el GDPR derivadas de la exposición de datos personales.

Medidas de Mitigación y Recomendaciones

Ante la disponibilidad de los descifradores, los equipos SOC y administradores deben:

1. Validar la autenticidad del descifrador mediante hashes y firmas digitales proporcionadas por fuentes de confianza.
2. Aplicar el descifrador en entornos controlados antes de su despliegue en producción.
3. Revisar logs y artefactos para detectar puertas traseras o cargas residuales.
4. Actualizar todas las plataformas afectadas y rotar credenciales comprometidas.
5. Monitorizar los canales de fuga de datos para evaluar el alcance de la exfiltración.
6. Documentar el incidente para cumplimiento de NIS2 y GDPR, notificando a las autoridades si corresponde.

Opinión de Expertos

Especialistas en ciberinteligencia como Brett Callow (Emsisoft) y Allan Liska (Recorded Future) coinciden en que la publicación de descifradores es una medida positiva, pero advierten que no elimina el riesgo de reutilización del malware ni soluciona la exposición de información robada. «El cierre de un grupo rara vez es definitivo; los afiliados tienden a migrar entre operaciones RaaS activas. La resiliencia debe basarse en una estrategia de defensa en profundidad y respuesta ágil», señala Liska.

Implicaciones para Empresas y Usuarios

La decisión de Hunters International impacta directamente en el debate sobre la negociación de rescates y la efectividad de las políticas de tolerancia cero ante el pago. Para los CISOs y responsables de continuidad de negocio, este caso refuerza la necesidad de contar con copias de seguridad inmutables, planes de respuesta a incidentes actualizados y análisis post-mortem para mitigar impactos legales y reputacionales. A nivel regulatorio, el incidente subraya la importancia de reportar incidentes en menos de 72 horas según el GDPR, así como la coordinación con CERTs nacionales.

Conclusiones

El cierre de Hunters International y la liberación de descifradores es un evento inusual dentro del ecosistema RaaS, pero no debe interpretarse como una victoria definitiva. Si bien permite a numerosas organizaciones recuperar su información sin incurrir en pagos ilícitos, los riesgos asociados a la exfiltración y la posible reutilización del malware persisten. La vigilancia, la colaboración internacional y la mejora continua de controles técnicos y organizativos siguen siendo esenciales para mitigar el ransomware de próxima generación.

(Fuente: www.bleepingcomputer.com)