קבוצת הכופרה Hunters International מכוונת מתקפות נגד עובדי IT באמצעות נוזקת טרויאני חדשה לגישה מרחוק (RAT) בשם SharpRhino כדי לפרוץ רשתות מחשוב ארגוניות. הנוזקה מסייעת ל- Hunters International להשיג הדבקה ראשונית של מערכת המחשוב, לשפר את הרשאות הגישה שלהם במערכות שנפרצו, לבצע פקודות PowerShell ובסופו של דבר לפרוס את הכופרה. חוקרי Quorum Cyber שבחנו את הנוזקה המשמשת למתקפת הכופרה, מדווחים שהיא מופצת על ידי אתר שגיאות הקלדה המתחזה לאתר האינטרנט של Angry IP Scanner – כלי רשת לגיטימי המשמש עובדי IT.
קבוצת Hunters International הינה קבוצת כופרה שהושקה בסוף 2023 וסומנה כמותג מחודש של Hive, בשל קווי הדמיון שלה בקוד. הקורבנות הבולטים של קבוצת Hunters International כוללים את Austal USA – קבלן הצי האמריקני, Hoya – ענקית האופטיקה היפנית, Integris Health ומרכז הסרטן של Fred Hutch, שם הפגינו פושעי הסייבר את היעדר הגבולות המוסריים שלהם.
עד כה הכריזה קבוצת הכופרה על 134 מתקפות כופרה נגד ארגונים שונים ברחבי העולם והיא מדורגת במקום העשירי בין הקבוצות הפעילות ביותר.
נוזקת SharpRhino חודרת למערכות מחשוב כקובץ התקנה 32 סיביות חתום דיגיטלית ('ipscan-3.9.1-setup.exe') המכיל ארכיון 7z מוגן באמצעות סיסמה עם קבצים נוספים לביצוע ההדבקה. קובץ ההתקנה משנה את הרישום של Windows לצורך התמדה ויוצר קיצור דרך ל- Microsoft.AnyKey.exe. בנוסף, מוריד קובץ ההתקנה את 'LogUpdate.bat', אשר מבצע סקריפטים של PowerShell במחשב הקורבן כדי להדר C# לזיכרון לצורך הפעלת נוזקות חמקניות. לצורך יתירות, יוצר קובץ ההתקנה יוצר שתי ספריות, 'C:\ProgramData\Microsoft: WindowsUpdater24' ו- 'LogUpdateWindows' – שניהם משמשים את שרת הפקודה והבקרה (C2) של פושעי הסייבר.
הטקטיקה החדשה של Hunters International של פריסת אתרי אינטרנט כדי להתחזות לכלי סריקת רשת לגיטימיים בקוד פתוח, מצביעה על כך שהם מכוונים לעובדי IT בתקווה לפרוץ לחשבונות משתמשים בעלי הרשאות גבוהות. על המשתמשים להיזהר מתוצאות ממומנות בתוצאות חיפוש כדי לא ליפול קורבן ל- Malvertising, להפעיל חוסמי פרסומות כדי להסתיר את התוצאות הללו לחלוטין ולסמן אתרי פרויקטים רשמיים הידועים כמתקינים בטוחים. על מנת למתן את ההשפעות של מתקפת כופרה, מומלץ לתכנן ולהפעיל תוכנית גיבוי, לבצע פילוח רשת ולוודא שכל התוכנות מעודכנות.
