Στον κόσμο της κυβερνοασφάλειας, η εξαφάνιση μιας μεγάλης ομάδας ransomware συχνά δεν σημαίνει το τέλος της, αλλά την αρχή μιας νέας μεταμφίεσης. Αυτή είναι η περίπτωση της Hunters International, μιας ομάδας που αρχικά θεωρήθηκε νέος παίκτης στη σκηνή του ψηφιακού εγκλήματος, αλλά αποδείχθηκε ότι είναι η μετενσάρκωση της διαβόητης ομάδας Hive.
Η ιστορία ξεκινά με την εξάρθρωση της Hive, μιας από τις πιο παραγωγικές ομάδες ransomware. Σε μια διεθνή επιχείρηση με επικεφαλής το FBI, οι αρχές κατάφεραν να διεισδύσουν στα δίκτυα της Hive τον Ιούλιο του 2022. Για επτά μήνες, το FBI παρακολουθούσε κρυφά τις δραστηριότητές τους, παρέχοντας πάνω από 300 κλειδιά αποκρυπτογράφησης στα θύματα και αποτρέποντας πληρωμές λύτρων ύψους περίπου 130 εκατομμυρίων δολαρίων. Τον Ιανουάριο του 2023, οι αρχές ανακοίνωσαν την κατάσχεση των διακομιστών της Hive, θέτοντας ουσιαστικά εκτός λειτουργίας την υποδομή της.
Λίγους μήνες αργότερα, τον Οκτώβριο του 2023, εμφανίστηκε η Hunters International. Αρχικά, η ομάδα ισχυρίστηκε ότι είχε αγοράσει τον πηγαίο κώδικα και τα περιουσιακά στοιχεία της Hive, παρουσιάζοντας τον εαυτό της ως μια ξεχωριστή οντότητα. Ωστόσο, οι ερευνητές κυβερνοασφάλειας γρήγορα εντόπισαν σημαντικές ομοιότητες. Η ανάλυση του κώδικα αποκάλυψε ότι το ransomware της Hunters International μοιραζόταν μεγάλο μέρος του κώδικα με αυτό της Hive. Επιπλέον, χρήστες σε παράνομα φόρουμ και συνεργάτες άλλων ομάδων ransomware αναφέρονταν στη Hunters ως «Hive» στα ρωσικά (хайв). Ορισμένοι εγκληματίες του κυβερνοχώρου ανέφεραν ότι οι διαχειριστές της Hunters επικοινώνησαν μαζί τους χρησιμοποιώντας τους ίδιους λογαριασμούς άμεσων μηνυμάτων που συνδέονταν προηγουμένως με τη Hive.
Η μετονομασία είναι μια κοινή τακτική για τις ομάδες ransomware. Ο κύριος λόγος είναι η αποφυγή των αρχών επιβολής του νόμου και των κυρώσεων. Όταν μια ομάδα μπαίνει στο στόχαστρο, η μετονομασία της επιτρέπει να συνεχίσει τις δραστηριότητές της κάτω από ένα νέο όνομα, καθιστώντας δύσκολη την παρακολούθηση. Επιπλέον, τους επιτρέπει να αποστασιοποιηθούν από επιθέσεις υψηλού προφίλ που μπορεί να έχουν προσελκύσει ανεπιθύμητη προσοχή.
Η Hunters International υιοθέτησε το μοντέλο Ransomware-as-a-Service (RaaS), στρατολογώντας συνεργάτες για τη διεξαγωγή επιθέσεων. Η ομάδα στοχεύει ένα ευρύ φάσμα βιομηχανιών, συμπεριλαμβανομένων της υγειονομικής περίθαλψης, της μεταποίησης, των οικονομικών και της εκπαίδευσης. Οι τακτικές τους περιλαμβάνουν την εκμετάλλευση γνωστών τρωτών σημείων, όπως μια ευπάθεια του Oracle WebLogic Server (CVE-2020-14644), την κλοπή διαπιστευτηρίων και την πλευρική μετακίνηση εντός των δικτύων. Χρησιμοποιούν μια τακτική διπλού εκβιασμού, όπου όχι μόνο κρυπτογραφούν τα δεδομένα του θύματος αλλά τα αποσπούν και απειλούν να τα δημοσιεύσουν στον ιστότοπο διαρροής τους στο dark web.
Πρόσφατα, η Hunters International έκανε μια απροσδόκητη κίνηση. Στις αρχές Ιουλίου 2025, η ομάδα ανακοίνωσε ότι κλείνει τις δραστηριότητές της και θα προσφέρει δωρεάν εργαλεία αποκρυπτογράφησης στα θύματα. Ωστόσο, οι ειδικοί παραμένουν δύσπιστοι. Αυτή η κίνηση θεωρείται ευρέως ως μια άλλη στρατηγική μετονομασία και όχι ως το τέλος των δραστηριοτήτων τους. Η ομάδα είχε ήδη σηματοδοτήσει την πρόθεσή της να μετακινηθεί από το ransomware σε επιθέσεις που εστιάζουν αποκλειστικά στην απόσπαση δεδομένων και τον εκβιασμό, λανσάροντας ένα νέο εγχείρημα με την ονομασία «World Leaks».
Η υπόθεση της Hive και της Hunters International υπογραμμίζει την ανθεκτικότητα και την προσαρμοστικότητα των εγκληματικών οργανώσεων του κυβερνοχώρου. Ακόμη και όταν οι αρχές επιβολής του νόμου επιτυγχάνουν σημαντικές νίκες, όπως η εξάρθρωση της Hive, οι φορείς πίσω από αυτές τις επιχειρήσεις συχνά ανασυντάσσονται, μετονομάζονται και συνεχίζουν τις παράνομες δραστηριότητές τους. Για τις επιχειρήσεις και τους οργανισμούς, αυτό χρησιμεύει ως μια αυστηρή υπενθύμιση ότι η επαγρύπνηση, η ισχυρή διαχείριση των ενημερώσεων και τα ολοκληρωμένα σχέδια αντιμετώπισης περιστατικών είναι απαραίτητα για την άμυνα έναντι αυτών των συνεχώς εξελισσόμενων απειλών.