Die Ransomware-Gang Hunters International firmiert um, während weltweite Lecks ans Licht kommen

Die Ransomware-Bande Hunters International schließt nach 55 bestätigten und 199 unbestätigten Cyberangriffen. Lesen Sie mehr über die Umbenennung in World Leaks und die Auswirkungen auf das Gesundheitswesen und Unternehmen.

Die bekannte Ransomware-as-a-Service-Gruppe „Hunters International“ hat ihre Schließung mit Wirkung zum heutigen 4. Juli 2025 offiziell erklärt. Hunters International war etwa zwei Jahre lang aktiv und gilt als Wiederbelebung oder Nachfolger der berüchtigten Hive-Ransomware (die im Januar 2023 von internationalen Strafverfolgungsbehörden zerschlagen wurde, nachdem über 100 Millionen US-Dollar erpresst worden waren). Die Gruppe erlangte für ihre doppelte Erpressungstaktik traurige Berühmtheit.

Dabei wurden sowohl die Daten der Opfer verschlüsselt als auch gestohlen und veröffentlicht, falls kein Lösegeld gezahlt wurde. Sicherheitsforscher deuten jedoch darauf hin, dass es sich bei der Schließung weniger um einen Rückzug als vielmehr um eine strategische Wende handelt, da die Gruppe bereits unter einem neuen Namen operiert: World Leaks.

Forscher von Comparitech haben 55 von Hunters International gemeldete Ransomware-Angriffe untersucht und bestätigt. Hinzu kommen 199 unbestätigte Vorwürfe. Diese bestätigten Angriffe führten zur Gefährdung von mindestens 3,25 Millionen persönlichen Daten.

Besonders stark betroffen war der Gesundheitssektor. 2,9 Millionen der kompromittierten Datensätze entfielen auf 19 Angriffe auf Krankenhäuser und Kliniken. Unternehmen verzeichneten 55 bestätigte Angriffe, wobei die produzierende Industrie (12 Angriffe) am häufigsten betroffen war. Auch Behörden und Schulen wurden mit 16 bzw. 2 bestätigten Angriffen Opfer.

Hunters International machte seine Lösegeldforderungen selten öffentlich. Zwei bemerkenswerte Fälle tauchten jedoch auf: Die Hoya Corporation in Japan wurde im März 2024 mit einer Forderung von 10 Millionen Dollar konfrontiert, und die Azienda USL di Modena in Italien weigerte sich im November 2023, ein Lösegeld von 3 Millionen Dollar zu zahlen .

Zu den größten Datendiebstählen in den USA, die Hunters International zugeschrieben werden, zählen das Fred Hutchinson Cancer Centre (1.840.927 Betroffene im November 2023), Omni Family Health (468.344 Betroffene im August 2024) und Arisa Health (375.436 Betroffene im März 2024). In einem gewagten Schritt kontaktierte Hunters sogar einzelne Patienten des Fred Hutchinson Cancer Centre und forderte 50 Dollar für die Löschung ihrer gestohlenen Daten.

Laut Forescout fielen dieser RaaS-Operation allein im November 2024 24 Organisationen zum Opfer, durchschnittlich eine pro Tag (10 in den USA, 2 in Großbritannien, 7 in der EU, 3 in Südamerika und 2 in Asien).

Das Threat-Intelligence-Unternehmen Group-IB berichtete im April 2025, dass Hunters International sich in World Leaks umbenannt. Diese neue Operation konzentriert sich ausschließlich auf Datendiebstahl und Erpressung und verzichtet auf den Verschlüsselungsaspekt traditioneller Ransomware.

Rebecca Moody, Leiterin der Datenforschung bei Comparitech, kommentierte diesen Wandel und deutete an, dass es sich nicht um einen Sinneswandel handele, sondern vielmehr um eine Hinwendung zu einer potenziell lukrativeren Einnahmequelle im Datendiebstahl. Sie merkte an, dass World Leaks keine Ransomware-Bande sei, da die „Ware“ (Verschlüsselung) bei ihren Angriffen entscheidend fehle.

World Leaks hat bereits die Verantwortung für 33 Angriffe übernommen, darunter auf Chain IQ (Schweiz) und Freedom Healthcare in Colorado. Überraschenderweise hat Hunters International angekündigt, Unternehmen, die mit seiner Ransomware infiziert wurden, aber noch kein Lösegeld gezahlt haben, kostenlose Entschlüsselungssoftware anzubieten.

Moody geht jedoch davon aus, dass viele Opfer ihre Systeme bereits wiederhergestellt haben, sodass das Angebot angesichts der Inaktivität der Gruppe bei neuen Verschlüsselungsangriffen seit Mai 2025 weitgehend symbolisch ist. Dennoch markiert dieser Übergang eine bedeutende Entwicklung in der Cybercrime-Community, da Datenerpressung zu einer immer häufigeren und gezielteren Bedrohung wird.