Gangue de ransomware Hunters International muda de nome para World Leaks

A gangue de ransomware Hunters International se desfaz após 55 ataques cibernéticos confirmados e 199 não confirmados. Leia sobre sua mudança de nome para World Leaks e seu impacto na saúde e nos negócios.

Um importante grupo de ransomware como serviço, o "Hunters International" , declarou oficialmente seu encerramento, a partir de hoje, 4 de julho de 2025. Ativo por aproximadamente dois anos e especulado como um renascimento ou sucessor do notório Hive Ransomware (desmantelado por autoridades policiais globais em janeiro de 2023 após extorquir mais de US$ 100 milhões), o Hunters International ganhou notoriedade por suas táticas de dupla extorsão .

Isso envolvia criptografar os dados das vítimas e roubá-los para divulgação pública caso o resgate não fosse pago. No entanto, pesquisadores de segurança indicaram que esse fechamento não se trata tanto de uma aposentadoria, mas sim de uma junção estratégica, com o grupo já operando sob um novo nome: World Leaks.

Pesquisadores da Comparitech investigaram e confirmaram 55 ataques de ransomware reivindicados pela Hunters International, além de 199 alegações não confirmadas. Essas violações confirmadas resultaram no comprometimento de pelo menos 3,25 milhões de registros pessoais.

O setor de saúde foi particularmente afetado, respondendo por 2,9 milhões de registros comprometidos em 19 ataques a hospitais e clínicas. Empresas sofreram 55 ataques confirmados, sendo os fabricantes os alvos mais frequentes (12 ataques). Entidades governamentais e escolas também foram vítimas, com 16 e 2 ataques confirmados, respectivamente.

A Hunters International raramente tornou públicos seus pedidos de resgate. No entanto, surgiram dois casos notáveis: a Hoya Corporation, no Japão, foi atingida por um pedido de US$ 10 milhões em março de 2024, e a Azienda USL di Modena, na Itália, recusou-se a pagar um resgate de US$ 3 milhões em novembro de 2023.

Algumas das maiores violações de dados atribuídas à Hunters International nos EUA incluem o Fred Hutchinson Cancer Center (1.840.927 pessoas afetadas em novembro de 2023), o Omni Family Health (468.344 pessoas em agosto de 2024) e o Arisa Health (375.436 pessoas em março de 2024). Em uma atitude ousada, a Hunters chegou a contatar pacientes individuais do Fred Hutchinson Cancer Center, exigindo US$ 50 para excluir seus dados roubados.

Esta operação RaaS vitimou 24 organizações somente em novembro de 2024, relata a Forescout, com uma média de uma por dia (10 nos EUA, 2 no Reino Unido, 7 na UE, 3 na América do Sul e 2 na Ásia).

A empresa de inteligência de ameaças Group-IB relatou em abril de 2025 que a Hunters International estava em processo de mudança de nome para World Leaks. Essa nova operação se concentra exclusivamente em roubo e extorsão de dados, abandonando o aspecto de criptografia do ransomware tradicional.

Rebecca Moody, Chefe de Pesquisa de Dados da Comparitech, comentou sobre essa mudança, sugerindo que não se trata de uma mudança de ideia, mas sim de uma mudança em direção a uma fonte de receita "potencialmente mais lucrativa" com o roubo de dados. Ela observou que o World Leaks "não é uma gangue de ransomware", já que o "ware" (criptografia) está gravemente ausente em seus ataques.

O World Leaks já assumiu a responsabilidade por 33 ataques, incluindo os realizados contra a Chain IQ (Suíça) e a Freedom Healthcare, no Colorado. Em um acontecimento surpreendente, a Hunters International declarou que oferecerá software de descriptografia gratuito para empresas que foram infectadas pelo ransomware, mas ainda não pagaram o resgate.

No entanto, Moody acredita que muitas vítimas já terão restaurado seus sistemas, tornando a oferta amplamente simbólica, dada a inatividade do grupo em novos ataques de criptografia desde maio de 2025. No entanto, essa transição marca uma evolução significativa na comunidade do crime cibernético, com a extorsão de dados se tornando uma ameaça cada vez mais prevalente e direcionada.