En un giro inusual de los eventos, el grupo de ransomware Hunters International ha anunciado que está cerrando sus operaciones. A pesar del supuesto cierre, aquellos familiarizados con la actividad del grupo le dijeron a Infosecurity que es probable que los administradores buscan cambiar el nombre y evolucionar sus tácticas de cibercrimen. Un mensaje publicado en inglés en el sitio de fugas de datos de Hunters International el 3 de junio confirmó el cierre del «proyecto» de Hunters International. La declaración también decía que «como un gesto de buena voluntad», el ransomware un sindicato de ransomware como servicio (RAAS) ofrecería software de descifrado gratuito a todas las compañías que han sido afectadas por el ransomware del grupo. «Nuestro objetivo es asegurar que pueda recuperar sus datos cifrados sin la carga de pagar rescates», se lee en el comunicado. Hunters International ha sido vinculado a Hive, otro grupo RAAS que fue desmantelado en enero de 2023 como parte de una operación global de aplicación de la ley. Según el sitio web de seguimiento de ransomware Ransomware.Live, Hunters International ha estado activo desde octubre de 2023 y ha reclamado a 307 víctimas hasta la fecha. Estos incluyen una clínica de cirujanos plásticos estadounidenses con una oficina en Beverly Hills (octubre de 2023), la subsidiaria de Londres del Banco Industrial y Comercial de China (ICBC), un banco estatal chino (septiembre de 2024), Autocanada (septiembre de 2024) y Tata Technologies (marzo de 2025). Las últimas víctimas conocidas del grupo se publicaron en su sitio de fuga de datos el 27 de mayo de 2025. A pesar del mensaje del grupo, no hay una clave de descifrado disponible en el sitio web del grupo al momento de escribir. Un analista de amenazas de ProDaft conocido como 3XP0RT, quien vio por primera vez el aviso de derribo del grupo, dijo al arriesgado medio de comunicación comercial que las claves de descifrado se están poniendo a disposición a través de los cazadores de backend. «Tenemos información de que las víctimas deben iniciar sesión en un portal mencionado en la nota de rescate utilizando sus credenciales existentes para obtener el software de descifrado», dijo 3XP0RT. Hunters International se despedió del cifrado antes del mensaje del 3 de junio, los administradores de Hunters International expresaron su disposición a cesar la extorsión cibernética basada en el ciebro varias veces. Según varios informes del Grupo-IB, los operadores del grupo publicaron una nota interna en ruso a sus socios sobre el final del proyecto del 17 de noviembre de 2024. «En una especie de ‘carta de despedida’, el liderazgo del grupo afirmó que el negocio de ransomware se ha convertido en un informe de riesgo y no es informativo debido a las acciones tomadas por los organismos gubernamentales y el impacto negativo causado por la geopolítica en curso global», los investigadores de un grupo de grupos explicaban en un informe en un informe de Abril 225, 2025. Los Operadores Internacionales de Hunters publicaron un nuevo proyecto el 1 de enero de 2025, bajo el nombre World Leaks. En lugar de encriptar los datos de sus víctimas y realizar una doble extorsión, el nuevo grupo cambiaría a ataques sin cifrado y solo extorsión. Según Ransomware.live, World Leaks ha estado activo desde el 18 de mayo de 2025, solo unos días antes de las últimas víctimas de Hunters International, y ha reclamado 31 víctimas hasta la fecha. En particular, se cree que World Leaks realizó una campaña de extorsión cibernética contra un proveedor externo de Swiss Bank UBS en junio de 2025, lo que llevó a 130,000 empleados de UBS a tener sus datos publicados en la web oscura. Sin embargo, un informe del Grupo-IB, compartido con Infosecurity, sugirió que la historia de Hunters International podría ser más complicado que un cambio de marca simple. El informe, inicialmente compartido con los clientes de la empresa como una notificación de TLP: Amber en enero de 2025, indicó que un administrador internacional de cazadores publicó una nota en el panel de afiliados del grupo el 18 de enero para informarles que el «proyecto» aún no estaría cerrado. Después de ser traducido del ruso al inglés, la nota decía: «Nos complace informarle que la decisión colectiva era reanudar el trabajo del proyecto de cifrado de datos». Según el informe del Grupo-IB, el operador afirmó que la decisión se tomó después de que el nuevo «proyecto», World Leaks, contenía «muchos errores». ‘Dissent Doe’, un blogger de ciberseguridad seudónimo y autor del sitio web DatabReaches.net, informó el 3 de julio que un portavoz de World Fuge les dijo que el grupo de personas que inició World Lotes se había separado de la compañía con algunos cazadores de administradores internacionales sobre el uso del cifrado. «Fuimos parte de ellos, pero separados debido a las diferencias en las opiniones e ideas. La principal diferencia es que no queremos dañar a las empresas al bloquear su operabilidad», dijo el portavoz. «La extorsión de datos es un modelo de negocio mucho mejor porque no hace que las empresas sean inoperables y aumente la ciberseguridad general para proteger los datos de los clientes privados», agregaron. Sin embargo, en su último mensaje en inglés que anuncia el cierre de sus operaciones, Hunters International no ha mencionado las filtraciones mundiales o el hecho de que las personas anteriormente asociadas con el Grupo RAAS continuarían realizando campañas de extorsión cibernética. Un cambio de marca sigiloso a las filtraciones mundiales que hablan de Infosecurity, un portavoz del Grupo IP dijo que los analistas de inteligencia de amenazas de la firma evaluaron «con gran confianza» que World Leaks es un proyecto operado por individuos previamente involucrados en la administración de Hunters International. Aunque el grupo detrás de Hunters International no ha reconocido públicamente ninguna conexión con las filtraciones mundiales, el portavoz del Grupo IB dijo que su investigación indicó que las comunicaciones internas sugirieron una transición coordinada a las filtraciones mundiales. «La ausencia de cualquier referencia al mundo fugas en [the July 3] El mensaje parece intencional y probablemente esté diseñado para controlar la narrativa y la atribución de retraso «, agregaron. Los analistas de inteligencia de amenazas reconocieron que el grupo de administradores que anteriormente ejecutan cazadores internacionales pueden haberse dividido en dos grupos, uno que cerró las operaciones y la otra que continúa la actividad de extorsión sin cifrado bajo las filtraciones mundiales. En cambio, es más probable que los administradores cambiaran de nombre en un movimiento hacia «la distancia del mundo de la distancia de la etiqueta de ransomware». “Continuar bajo el nombre internacional de Hunters, que estaba fuertemente asociado con la doble extorsión, podría confundir a las víctimas o conducir a una mala atribución. La disociación de una entidad conocida permite al grupo evadir el escrutinio inmediato y el equipaje de reputación. Esta táctica también les ayuda a mantener la ilusión de la integridad operativa mientras continúa las actividades ilícitas bajo una nueva apariencia. El momento y la vaguedad de su anuncio de cierre refuerzan esta interpretación «, agregó el Grupo-IB. Finalmente, los analistas del Grupo-IB evaluaron que, si bien no han podido verificar su efectividad, la versión aparente de las claves de descifrado gratuito está lejos de ser un mero» gesto de buena voluntad «como el grupo reclama. táctica. «