Accueil » , » La fin de Hunters International

La fin de Hunters International

Aucun commentaire
Groupe de hackers Hunters International

La fin de Hunters international

Un tournant dans l’univers du cybercrime

En juillet 2025, le groupe de ransomware Hunters International a officiellement annoncé sa dissolution. Cette organisation cybercriminelle, qui a sévi pendant près de deux ans, a choisi de mettre fin à ses opérations en rendant accessibles gratuitement des outils de déchiffrement aux victimes de ses attaques passées. Cependant, cette annonce, qui aurait pu être interprétée comme un renoncement sincère, cache en réalité une mutation stratégique vers un modèle de cybercriminalité différent. En effet, Hunters International cède la place à une nouvelle entité baptisée World Leaks, orientée exclusivement vers l’extorsion par fuite de données, sans recours au chiffrement.

Ascension et méthode de Hunters International

Apparu sur la scène cybercriminelle à la fin de l’année 2023, Hunters International s’est rapidement imposé comme l’un des groupes de ransomware les plus actifs et les plus organisés. Il a souvent été décrit comme l’héritier de Hive, un autre groupe de ransomware démantelé en janvier 2023 par une opération conjointe du FBI et d’agences européennes. À travers une structure de type Ransomware-as-a-Service (RaaS), Hunters proposait à des affiliés de déployer son rançongiciel contre une part des bénéfices générés. Ce modèle permettait une grande souplesse dans les attaques, tout en maintenant une efficacité redoutable.

Le groupe visait principalement les entreprises moyennes et grandes dans les secteurs de la santé, de l’industrie, des technologies et de la finance. Des entités comme Tata Technologies, le Fred Hutchinson Cancer Center et même le service des US Marshals ont été identifiées parmi les victimes. Les systèmes Windows, Linux, FreeBSD, SunOS et ESXi figuraient parmi les cibles du chiffreur. Une fois les systèmes compromis, les attaquants procédaient à un double chantage, exigeant une rançon pour le déchiffrement des fichiers et pour éviter la publication de données confidentielles volées en amont.

Une annonce de fermeture inattendue

Le 3 juillet 2025, Hunters International a publié un communiqué sur son site du darknet annonçant sa fermeture immédiate. Les administrateurs du groupe ont précisé qu’ils mettaient fin à leurs activités « à la lumière de récents développements » et qu’ils souhaitaient, dans un geste de bonne foi, fournir gratuitement les outils nécessaires au déchiffrement des fichiers verrouillés par leurs malwares. Le site de fuites, qui servait à faire pression sur les victimes, a été vidé de ses contenus, et un formulaire a été mis en place pour permettre aux entreprises affectées de demander leurs clés de déchiffrement.

Si certains observateurs ont salué cette décision comme une forme de repentir, d’autres y ont vu une manœuvre opportuniste. Des experts en cybersécurité, dont Luke Connolly de la société Emsisoft, ont mis en garde contre une utilisation aveugle des outils de déchiffrement fournis, évoquant le risque potentiel que ces derniers soient piégés ou défectueux. Les analystes ont souligné que malgré la fermeture officielle, le groupe avait probablement d’autres intentions, compte tenu de l’historique des groupes de ransomware qui se « rebrandent » plutôt que de disparaître.

Une transformation stratégique vers World Leaks

Très rapidement après l’annonce de la fermeture de Hunters International, une nouvelle entité, World Leaks, a été identifiée comme sa possible héritière. Le site de World Leaks présente une esthétique très similaire, et les premiers noms de victimes listés sur la nouvelle plateforme laissent peu de doute sur la continuité entre les deux organisations. Contrairement à Hunters International, World Leaks ne procède plus au chiffrement des systèmes. Le groupe se contente désormais de voler des données sensibles, puis de menacer de les rendre publiques si une rançon n’est pas versée.

Ce changement de stratégie reflète une tendance plus large observée dans l’écosystème des cybermenaces. Le vol de données, souvent facilité par des accès initiaux via phishing, vulnérabilités VPN ou mots de passe faibles, permet aux attaquants d’agir plus discrètement, avec des risques juridiques moindres et des coûts techniques réduits. De plus, le fait de ne pas chiffrer les fichiers rend les attaques moins visibles dans les premiers temps, prolongeant la période durant laquelle les criminels peuvent monétiser les données sans être détectés.

Les raisons d’un tel revirement

Plusieurs facteurs expliquent cette réorientation. D’abord, la pression judiciaire s’intensifie à l’encontre des groupes de ransomware. Aux États-Unis, des lois récentes assimilent certaines formes de cyberextorsion à des actes terroristes, exposant leurs auteurs à des poursuites internationales renforcées. Ensuite, la rentabilité des attaques par ransomware est en baisse. Les entreprises sont mieux préparées, les sauvegardes sont plus fréquentes, et les négociations de rançon aboutissent moins souvent à des paiements. Enfin, la gestion technique d’un ransomware est complexe et coûteuse : elle nécessite de maintenir des chiffreurs fiables, de gérer des portails de paiement anonymes et de coordonner des affiliés souvent peu disciplinés.

En se concentrant uniquement sur l’extorsion de données, World Leaks simplifie ses opérations, réduit les coûts, et maintient un levier de pression efficace sur ses victimes. De plus, cette approche attire moins l’attention des forces de l’ordre dans un premier temps, car les entreprises peuvent être réticentes à signaler la fuite de données lorsqu’aucun dysfonctionnement technique n’est immédiatement perceptible.

Réactions de la communauté de cybersécurité

La communauté cyber a réagi avec une prudence mêlée de scepticisme. Si certains ont salué la mise à disposition gratuite des déchiffreurs, beaucoup ont insisté sur le fait que cette démarche n’est en rien une preuve de remords. Il s’agit d’un repositionnement tactique. D’autres experts, comme Allan Liska de Recorded Future, estiment que cette transition vers l’extorsion simple s’inscrit dans une évolution naturelle du modèle économique des groupes de ransomware, qui cherchent à maximiser leurs gains tout en réduisant leur exposition au risque.

Par ailleurs, le site World Leaks a déjà commencé à publier des extraits de données provenant de victimes ayant refusé de coopérer. Cela démontre que, malgré le changement d’approche, les conséquences pour les entreprises restent dramatiques. Fuite de données confidentielles, atteinte à la réputation, litiges juridiques avec les clients et fournisseurs, amendes pour non-conformité au RGPD ou à d’autres réglementations : les impacts d’une telle attaque sont multiples.

Enjeux et perspectives

Le démantèlement de Hunters International ne signifie pas la fin du groupe, mais plutôt sa métamorphose. Pour les entreprises, la menace évolue mais ne disparaît pas. Il devient urgent d’adapter les stratégies de cybersécurité. Les sauvegardes, longtemps considérées comme l’ultime rempart contre les ransomwares, ne suffisent plus. La prévention de l’exfiltration de données devient une priorité. Les solutions de type DLP (Data Loss Prevention), la segmentation des réseaux, le chiffrement des données sensibles au repos et en transit, ainsi qu’une surveillance continue des comportements anormaux, sont des axes à renforcer.

Par ailleurs, les entreprises doivent se doter de plans de réponse aux incidents intégrant des scénarios d’extorsion sans chiffrement. Il est aussi essentiel d’anticiper la gestion de la communication de crise et les obligations de notification en cas de fuite avérée. La coopération avec les autorités, les CERT et les agences spécialisées dans la cybersécurité doit être renforcée. En parallèle, la surveillance active des sites de fuite comme World Leaks peut permettre une détection rapide en cas d’exposition.

En résumé

Le cas de Hunters International illustre parfaitement la résilience et l’adaptabilité des cybercriminels. Face à des environnements juridiques et techniques en mutation, ces groupes n’hésitent pas à se réinventer. Leur objectif reste le même : monétiser l’accès à des données sensibles. La disparition des ransomwares ne doit donc pas être interprétée comme un recul de la menace, mais plutôt comme une transformation. La communauté de la cybersécurité, tout comme les entreprises et institutions publiques, doit rester vigilante et proactive pour répondre à ces nouveaux défis.

Source : Security Week - Hunters International Shuts Down, Offers Free Decryptors as It Morphs Into World Leaks

Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags