El grupo de cibercriminal dijo que abandonaría el cifrado y ofreció herramientas gratuitas para víctimas, mientras crecen las sospechas de que simplemente buscan relanzar sus campañas bajo el nombre de «World Leaks».
En un movimiento inesperado, el grupo de ransomware Hunters International declaró oficialmente su cierre el pasado 3 de julio, prometiendo proporcionar herramientas de descifrado gratuitas a todas las empresas que fueron víctimas de sus ataques. Sin embargo, varios expertos en ciberseguridad sostienen que este “cierre” podría ser solo una maniobra estratégica para desmarcarse de su pasado y operar desde ahora con la identidad de “World Leaks”.
“Después de una cuidadosa consideración y a la luz de recientes desarrollos, hemos decidido cerrar el proyecto Hunters International”, se lee en un comunicado publicado en su sitio de filtraciones en la dark web, en el que también indican que su objetivo es que sus víctimas “puedan recuperar sus datos cifrados sin la carga de pagar rescates”, todo bajo la impresión de ser un gesto de buena voluntad.
El grupo, activo desde octubre de 2023 y vinculado a casi 300 ataques a organizaciones de todo el mundo, aún no ha liberado públicamente las claves de descifrado de sus víctimas. Según el analista de amenazas “3xp0rt” de Prodaft, estas estarían disponibles en un portal privado al que se accede con las credenciales indicadas en las notas de rescate. “Las víctimas deben iniciar sesión en el portal mencionado en la nota para descargar el software de recuperación”, explicó.
Este no es el primer indicio de un cambio de rumbo. Ya en noviembre de 2024, los operadores del grupo comunicaron internamente que planeaban cesar sus operaciones debido a la creciente presión de las autoridades y la disminución de la rentabilidad del modelo de ransomware. Según el análisis de la firma Group-IB, esa misma administración lanzó el proyecto “World Leaks”, una operación enfocada únicamente en extorsión mediante filtración de datos, sin cifrado.
World Leaks comenzó a operar públicamente en mayo de este año, poco antes de que Hunters publicara su última víctima. Desde entonces, ha sumado al menos 31 ciberataques, entre ellos uno a un proveedor de servicios del banco suizo UBS, que derivó en la exposición de datos de 130 mil empleados.
Aunque en su último anuncio Hunters International no menciona a “World Leaks”, Group-IB asegura con “alta confianza” que ambos proyectos están conectados. “La omisión parece intencional, probablemente para controlar la narrativa y evitar una atribución directa”, afirmó un portavoz de la empresa. También indicaron que podría tratarse de una estrategia para disociarse del término “ransomware” y sus implicancias legales y mediáticas.
Incluso desde dentro del nuevo grupo, la intención parece ser suavizar su imagen pública. De hecho, un portavoz de “World Leaks” habría afirmado que su interés no es “perjudicar a las empresas bloqueando su operatividad. La extorsión sin cifrado es un modelo más efectivo y menos destructivo”.
Las similitudes en los sitios web, el uso compartido de herramientas de exfiltración de datos y las conexiones en foros clandestinos refuerzan la idea de que se trata de una continuidad encubierta. Algunos analistas incluso señalan que Hunters podría haber estado vinculado al desaparecido grupo Hive, desmantelado por autoridades globales en 2023.