Von Ransomware zu Extortion-as-a-Service

Die Gruppierung Hunters International trat erstmals im Oktober 2023 in Erscheinung, vermutlich als Rebranding der zuvor von Strafverfolgungsbehörden zerschlagenen Ransomware-Gruppe Hive. Anfangs operierte Hunters International im klassischen Ransomware-as-a-Service (RaaS)-Modell mit Fokus auf Datenverschlüsselung und -exfiltration. Im Zuge weltweiter Repressionen, gesetzlicher Sanktionen und Verboten von Lösegeldzahlungen wandelte sich die Strategie: Anfang 2025 wurde das Projekt unter dem Namen World Leaks neu gestartet – mit einem radikalen Strategiewechsel. Statt Verschlüsselung steht nun reine Erpressung durch Datenexfiltration und psychologischen Druck im Fokus.

Ursprung und Infrastruktur

Die erste bekannte Attacke von Hunters International traf am 13. Oktober 2023 ein britisches Unternehmen. Wenige Tage später wurde eine Malware-Probe über eine deutsche IP-Adresse bei VirusTotal eingereicht. Am 21. Oktober folgte die erste interne Anweisung im russischen Affiliate-Panel. Die Infrastruktur von Hunters International ist inspiriert von etablierten Gruppen wie LockBit und Qilin, weist jedoch klare Weiterentwicklungen auf: modulare Tools, kategorisierte Leaks, Live-Chats für Opfer und Affiliates sowie verschlüsselte Kommunikation via SOCKS5 und Tor.

Ziele und Opfer

Geografischer Fokus

• Nordamerika
• Europa
• Asien

Ausnahmen (behauptet): GUS-Staaten, Israel, Türkei, Ferner Osten
Realität: Opfer aus China, Japan und Türkei belegen das Gegenteil.

Branchen im Visier

• Gesundheitswesen
• Immobilien- und Bauwesen
• Professionelle Dienstleistungen

Verifizierte Opferliste

Unternehmen	Land	Branche
Lake Region Healthcare	USA	Gesundheitswesen
Center for Clinical Research	USA	Gesundheitswesen
Freedman HealthCare	USA	Gesundheitswesen
ASC Machine Tools	USA	Industrie
Sylvania	USA	Industrie
Valiant Energy Solutions	USA	Industrie
ASCOMA Cameroon	Kamerun	Industrie
A&R Engineering	USA	Industrie
Zeus Tecnología	Mexiko	IT
Indigo Group S.A.	Uruguay	IT
Brett-Robinson	USA	Bauwesen
A M King	USA	Bauwesen
Chain IQ	Schweiz	Bauwesen
Kel Campbell	Australien	Logistik
Canadian Rocky Mountain Resorts	Kanada	Gastgewerbe
Jardin De Ville	Kanada	Einzelhandel
AntiFarm	Indien	Beratung
Horecamaterialen De Meester NV	Belgien	Beratung

Das neueste Opfer: Chain IQ (Schweiz)

Chain IQ ist ein weltweit tätiger Anbieter für strategisches Beschaffungsmanagement mit Sitz in der Schweiz. Mit einem Umsatz von 124,2 Mio. USD und 581 Mitarbeitern war das Unternehmen ein attraktives Ziel für Angreifer, die an sensible Daten aus Lieferketten, Finanzen und Kundenbeziehungen gelangen wollten.

Was wurde geleakt?

Laut World Leaks wurden über 909,6 GB Daten mit 1.931.396 Dateien öffentlich bereitgestellt. Die Datenstruktur umfasst zahlreiche Ordner und sensible Dateien.

Beispielhafte Funde:

• Beschaffungs- und Transferdaten:
  • t_ariba_ubs_transfer/DIS_FYGH8ACR_20210114_05_54.csv
  • t_implenia_transfer/Implenia CH01_Cost Center Hierarchy_20221019_121117.csv
• Finanzdaten:
  • VRecovery_Bell Partners_20240215.xlsx mit Zahlungen >150.000 USD
  • Felder: Kontonummern, Rechnungen, Bankbewegungen
• Mitarbeiterverzeichnis:
  • CIQ_USER_20180814_221502 mit E-Mail-Adressen, Telefonnummern (USA/UK), Rollen
• Weitere Daten:
  • .xml, .xslt, .py, .sql weisen auf Export- und Systemdaten hin

Technische Fähigkeiten der Ransomware

Kompatible Systeme

• Windows (x86, x64, DLL/EXE)
• Linux (x86, x64, ARM)
• FreeBSD, SunOS
• VMware ESXi

Die Malware wurde bewusst breit aufgestellt, um sowohl Endpoints als auch virtualisierte Infrastrukturen zu kompromittieren.

Verschlüsselung und Tarnung

• AES-128 pro Datei
• Erste 65 Bytes unverschlüsselt, um Signaturen zu vermeiden
• Keine Dateiumbenennung, keine Notiz seit v6
• Löschung von Shadow Copies, Deaktivierung von Backups

Weitere Features

• Zielgerichtete Verschlüsselung via CLI
• Verzögerte Ausführung zur Sandbox-Umgehung
• Beenden von Prozessen & Services (z.B. Datenbanken, Backups)
• Wipe-Funktion & Netzwerklaufwerk-Erkennung
• DLL-Ausführung via regsvr32.exe (T1218.010)
• Automatisches Mounten nicht gemounteter Partitionen

Storage Software: Die Datenmanagement-Lösung

Ein zentrales Tool im Hunters-Toolkit ist die “Storage Software”. Affiliates nutzen sie nach der Exfiltration, um gestohlene Dateien strukturiert zu verwalten.

Funktionen

• Klassifizierung nach Typ: PII, Finanzdaten, Quellcode etc.
• Vorschau- und Download-Zugriff über das Opfer-Panel
• Fernlöschung möglich (psychologischer Druckpunkt)
• Speicherung erfolgt auf Angreifer-Servern, nicht bei Hunters

Kommunikation

• Verbindungsaufbau über Tor SOCKS5 Proxy
• Übertragung von verschlüsselten Metadaten (nicht Inhalten)
• Tool muss aktiv auf dem Angreifer-Host laufen, sonst kein Zugriff

Der Affiliate-Workflow

1. Zielregistrierung im Panel
2. Bereitstellung von Ransomware, Storage Tool & Zugangsdaten
3. Angriff und Datenklau (ggf. Verschlüsselung)
4. Leak-Konfiguration über Disclosure-Panel
5. Verhandlung im Live-Chat, Affiliate erhält bis zu 80 % der Zahlung

Diese Struktur zeigt ein hochentwickeltes Cybercrime-Geschäftsmodell mit klaren Rollen und Workflows.

OSINT-gestützte Erpressung

Zur Verstärkung des Drucks setzt World Leaks zunehmend auf Open Source Intelligence (OSINT):

• Erhebung über Führungskräfte, IT-Admins und Familienangehörige
• Einsatz für gezielte Drohungen via:
  • Telefon
  • E-Mails
  • Soziale Netzwerke

Ziel: Möglichst hoher emotionaler Druck bei gleichzeitiger Vermeidung von öffentlicher Sichtbarkeit, um Compliance-Maßnahmen zu umgehen

Fazit: Mit dem Leak von Chain IQ demonstriert World Leaks erneut, dass sich das Ransomware-Geschäftsmodell dramatisch wandelt. Die Zukunft der digitalen Erpressung liegt in silent breaches – ohne Verschlüsselung, aber mit maximaler Wirkung.