Hive에서 파생된 Hunters International 랜섬웨어 그룹의 진화 분석

Hunters International Linked to Hive Ransomware in Attacks on Windows, Linux, and ESXi Systems

Hunters International Linked to Hive Ransomware in Attacks on Windows, Linux, and ESXi Systems

 

• 개요
  • Hunters International은 Hive 랜섬웨어의 후속 조직으로 추정되는 그룹으로, Windows, Linux, FreeBSD, SunOS, ESXi 등 다양한 운영체제를 타깃으로 공격 수행
  • 2023년 10월 등장 이후 데이터 탈취 및 협박 중심의 고도화된 사이버 공격 전개
  • Hive의 소스코드 및 운영 도구를 인수한 것으로 분석되며, Rust 기반 랜섬웨어 개발로 플랫폼 호환성과 성능을 강화
• 주요 기술 및 전략 변화
  • 다중 아키텍처 지원
    • x64, x86, ARM 포함 다양한 시스템 환경을 대상으로 한 실행 파일 배포
  • 은닉성 강화 기법 적용
    • 암호화 후 파일명 변경 또는 랜섬노트 미생성, 피해 조직의 초기 탐지 회피 유도
  • OSINT 기반 압박 전술
    • 전화, 이메일, SNS 등을 통한 피해자 직접 접촉
    • 공개 데이터 및 소셜미디어 기반 공격 맞춤화
• 대상 산업 및 지역
  • 대상 산업: 의료, 부동산, 전문 서비스 업종
  • 공격 지역: 북미, 유럽, 아시아 전역
    • 공표상 이스라엘, 터키, 극동 지역은 공격 금지 대상으로 지정되었으나 실제 적용은 불완전
• 조직 운영 및 인프라
  • World Leaks 브랜드로 2025년 1월 재등장, 암호화 없는 순수 탈취 및 협박(extortion-only) 모델로 전환
  • Storage Software라는 도구를 활용하여 탈취 데이터를 분류 및 관리
    • 피해자는 이 시스템을 통해 지불 후 파일 다운로드 또는 삭제 요청 가능
  • 시스템 복구 기능 비활성화 및 주요 프로세스 강제 종료 기능 내장
  • ESXi 환경 내 가상머신 파일 암호화 기능 유지
• 전술적 전환 및 위협 확장
  • 이중 협박(double extortion) → 단일 협박(extortion-only) 전환은 탐지 회피와 법적 대응 최소화 전략 일환
  • 랜섬 지불 금지 정책 증가, 글로벌 수사 압력 상승에 따른 저위험 생존 전략 채택
  • Rust 기반으로 개발되어 정적 분석 회피 및 크로스 플랫폼 공격 효율성 향상
• 보안 권고
  • 파일 암호화 유무와 관계없이 정보 탈취 자체가 심각한 침해로 이어질 수 있음
  • 시스템 내 백업, 복구 기능 활성화 상태 및 접근 통제 정책 점검 필수
  • 외부 접속 모니터링, OSINT 기반 정찰 탐지, 웹 게시 데이터 유출 대응 체계 필요
  • SIEM, EDR, DLP 솔루션 간의 로그 연계 분석 및 대응 자동화 필요
  • ESXi와 같은 가상화 인프라는 별도 보안 모듈 및 경량화된 모니터링 체계 구성 권장
• 결론
  • Hunters International은 단순한 랜섬웨어 그룹이 아닌, 정교한 사이버 공격 조직으로 발전 중
  • Rust 기반 멀티 플랫폼 공격, 랜섬노트 미삽입 기법, 정교한 OSINT 기반 압박 전술 등은 기존 방어 체계를 우회
  • 조직은 데이터 보호 중심의 탐지 전략과 복원 체계 강화를 통해 이에 대응해야 하며, 암호화 없는 침해도 적극 대응 대상으로 간주해야 함