Le gang de rançongiciels Hunters International se rebaptise World Leaks

Le gang de rançongiciels Hunters International ferme ses portes après 55 cyberattaques confirmées et 199 non confirmées. Découvrez son changement de nom, devenu World Leaks, et son impact sur la santé et les entreprises.

Un important groupe de ransomware en tant que service, « Hunters International », a officiellement déclaré sa fermeture, effective aujourd'hui, le 4 juillet 2025. Actif depuis environ deux ans et supposé être une renaissance ou un successeur du tristement célèbre Hive Ransomware (démantelé par les forces de l'ordre mondiales en janvier 2023 après avoir extorqué plus de 100 millions de dollars), Hunters International a acquis une notoriété pour ses tactiques de double extorsion .

Cela impliquait à la fois le chiffrement des données des victimes et leur vol pour publication en cas de non-paiement d'une rançon. Cependant, les chercheurs en sécurité ont indiqué que cette fermeture constitue moins un retrait qu'un tournant stratégique, le groupe opérant déjà sous un nouveau nom : World Leaks.

Les chercheurs de Comparitech ont enquêté et confirmé 55 attaques de rançongiciels revendiquées par Hunters International, ainsi que 199 autres allégations non confirmées. Ces violations confirmées ont entraîné la compromission d'au moins 3,25 millions de données personnelles.

Le secteur de la santé a été particulièrement touché, avec 2,9 millions de dossiers compromis lors de 19 attaques visant des hôpitaux et des cliniques. Les entreprises ont été victimes de 55 attaques confirmées, les fabricants étant les cibles les plus fréquentes (12 attaques). Les organismes gouvernementaux et les écoles ont également été victimes, avec respectivement 16 et 2 attaques confirmées.

Hunters International a rarement rendu publiques ses demandes de rançon. Cependant, deux cas notables ont été relevés : Hoya Corporation au Japon a reçu une demande de rançon de 10 millions de dollars en mars 2024, et l'Azienda USL di Modena en Italie a refusé de payer une rançon de 3 millions de dollars en novembre 2023.

Parmi les plus importantes violations de données attribuées à Hunters International aux États-Unis, on compte celles du Fred Hutchinson Cancer Centre (1 840 927 personnes touchées en novembre 2023), d'Omni Family Health (468 344 personnes en août 2024) et d'Arisa Health (375 436 personnes en mars 2024). L'entreprise a même osé contacter des patients du Fred Hutchinson Cancer Centre, exigeant 50 dollars pour supprimer leurs données volées.

Cette opération RaaS a fait 24 victimes pour la seule année novembre 2024, rapporte Forescout, avec une moyenne d'une par jour (10 aux États-Unis, 2 au Royaume-Uni, 7 dans l'UE, 3 en Amérique du Sud et 2 en Asie).

En avril 2025, le cabinet de renseignement sur les menaces Group-IB a annoncé que Hunters International était en train de changer de nom pour devenir World Leaks. Cette nouvelle opération se concentre exclusivement sur le vol et l'extorsion de données, abandonnant l'aspect chiffrement des rançongiciels traditionnels.

Rebecca Moody, responsable de la recherche sur les données chez Comparitech, a commenté ce changement, suggérant qu'il ne s'agissait pas d'un changement d'attitude, mais plutôt d'une évolution vers une source de revenus « potentiellement plus lucrative » liée au vol de données. Elle a souligné que World Leaks n'était « pas un gang de rançongiciels », car le « logiciel » (le chiffrement) était cruellement absent de leurs attaques.

World Leaks a déjà revendiqué 33 attaques, dont celles contre Chain IQ (Suisse) et Freedom Healthcare (Colorado). Fait surprenant, Hunters International a annoncé qu'elle offrirait un logiciel de déchiffrement gratuit aux entreprises infectées par son rançongiciel, mais n'ayant pas encore payé de rançon.

Cependant, Moody estime que de nombreuses victimes auront déjà restauré leurs systèmes, ce qui rend l'offre largement symbolique compte tenu de l'inactivité du groupe dans les nouvelles attaques de cryptage depuis mai 2025. Néanmoins, cette transition marque une évolution significative dans la communauté de la cybercriminalité, l'extorsion de données devenant une menace de plus en plus répandue et ciblée.