Ransomware, Hunters International chiude e e regala le chiavi di decrittazione

Hunters International, uno dei gruppi ransomware-as-a-service più attivi degli ultimi anni, ha annunciato ufficialmente la chiusura delle proprie operazioni e la distribuzione gratuita dei decryptor a tutte le aziende colpite dai suoi attacchi. Il comunicato, pubblicato sul sito dark web del gruppo, rappresenta un gesto raro nel panorama del cybercrime: “Dopo attenta considerazione e alla luce dei recenti sviluppi, abbiamo deciso di chiudere il progetto Hunters International. Questa decisione non è stata presa alla leggera e riconosciamo l’impatto che ha avuto sulle organizzazioni con cui abbiamo interagito”, si legge nella nota diffusa dagli stessi criminali informatici.

Come “gesto di buona volontà”, Hunters International ha dichiarato che tutte le aziende colpite potranno richiedere gratuitamente il software di decrittazione e ricevere assistenza per il recupero dei dati direttamente dal loro sito ufficiale. Contestualmente, il gruppo ha cancellato tutti i dati e le entry dal proprio portale di estorsione, affermando di voler “supportare le organizzazioni coinvolte nel recupero rapido delle informazioni critiche, senza il peso di dover pagare riscatti”.

Le ragioni precise dietro questa decisione non sono state dettagliate, ma vale la pena osservare che la chiusura arriva dopo mesi di crescente pressione da parte delle forze dell’ordine internazionali e una redditività in calo, fattori che il gruppo aveva già indicato come motivi di una possibile svolta strategica. Già a novembre 2024, Hunters International aveva lasciato intendere che il modello ransomware stava diventando “poco promettente, a basso tasso di conversione ed estremamente rischioso”, sottolineando come la lotta globale contro il ransomware stesse passando dal piano virtuale a quello reale, con conseguenze anche per i Paesi che non contrastano attivamente questo fenomeno.

Hunters International era emerso alla fine del 2023, conquistando rapidamente notorietà per attacchi mirati a grandi aziende, enti pubblici e soprattutto strutture sanitarie in Nord America, Europa e Asia. Il gruppo, di matrice russa, aveva adottato un modello relativamente centralizzato rispetto ad altri collettivi ransomware, preferendo una comunicazione “aziendale” e un approccio orientato alla negoziazione post-attacco.

In meno di due anni, Hunters International ha rivendicato oltre 300 attacchi a livello globale, con richieste di riscatto che variavano da centinaia di migliaia a milioni di dollari, a seconda delle dimensioni delle organizzazioni colpite. Tra le vittime più note figurano la U.S. Marshals Service, il colosso giapponese Hoya, Tata Technologies, AutoCanada, Austal USA (fornitore della Marina statunitense), Integris Health e il Fred Hutch Cancer Center, quest’ultimo minacciato di pubblicazione dei dati di oltre 800.000 pazienti oncologici.

Possiamo fidarci di Hunters International e del suo addio al cybercrime? Il gruppo avrebbe in realtà già avviato da qualche tempo una transizione verso nuove strategie di estorsione, abbandonando la crittografia dei dati per concentrarsi esclusivamente sul furto e sulla minaccia di pubblicazione delle informazioni sottratte. Questa evoluzione si sarebbe concretizzata nella nascita di World Leaks, una nuova piattaforma di data leak dove le vittime vengono nominate e i dati pubblicati se il riscatto non viene pagato. Le indagini suggeriscono che World Leaks sia un semplice cambio di brand, con infrastrutture e strumenti ereditati direttamente da Hunters International, che a sua volta era già stato identificato come erede del noto gruppo Hive, smantellato dall’FBI nel 2023.

E' bene ricordare, inoltre, che in passato altri gruppi hanno rilasciato chiavi di decrittazione gratuite come strategia di uscita o per depistare le forze dell’ordine, salvo poi riemergere con nuovi nomi e tecniche. Inoltre, la sicurezza e l’autenticità dei decryptor offerti dovranno essere verificate da ricercatori indipendenti prima che le aziende colpite procedano al recupero dei dati.