Il gruppo di ransomware Hunters International cambia nome in World Leaks

Il gruppo di ransomware Hunters International chiude i battenti dopo 55 attacchi informatici confermati e 199 non confermati. Scopri di più sul suo rebranding in World Leaks e sul suo impatto su sanità e aziende.

Un importante gruppo di ransomware-as-a-service, "Hunters International", ha ufficialmente dichiarato la sua chiusura, a partire da oggi, 4 luglio 2025. Attivo da circa due anni e ritenuto una rinascita o un successore del famigerato ransomware Hive (smantellato dalle forze dell'ordine globali nel gennaio 2023 dopo aver estorto oltre 100 milioni di dollari), Hunters International ha guadagnato notorietà per le sue doppie tattiche estorsive .

Ciò comportava sia la crittografia dei dati delle vittime che il loro furto per renderli pubblici in caso di mancato pagamento del riscatto. Tuttavia, i ricercatori di sicurezza hanno indicato che questa chiusura non rappresenta tanto un ritiro quanto piuttosto un punto di svolta strategico, con il gruppo che opera già con un nuovo nome: World Leaks.

I ricercatori di Comparitech hanno indagato e confermato 55 attacchi ransomware rivendicati da Hunters International, a cui si aggiungono altri 199 non confermati. Queste violazioni confermate hanno portato alla compromissione di almeno 3,25 milioni di dati personali.

Il settore sanitario è stato particolarmente colpito, con 2,9 milioni di record compromessi in 19 attacchi a ospedali e cliniche. Le aziende hanno subito 55 attacchi confermati, con i produttori il bersaglio più frequente (12 attacchi). Anche enti governativi e scuole sono stati colpiti, con rispettivamente 16 e 2 attacchi confermati.

Hunters International ha raramente reso pubbliche le sue richieste di riscatto. Tuttavia, sono emersi due casi degni di nota: la Hoya Corporation in Giappone ha ricevuto una richiesta di 10 milioni di dollari nel marzo 2024 e l'Azienda USL di Modena in Italia si è rifiutata di pagare un riscatto di 3 milioni di dollari nel novembre 2023.

Tra le violazioni di dati più gravi attribuite a Hunters International negli Stati Uniti figurano quelle al Fred Hutchinson Cancer Centre (1.840.927 persone colpite a novembre 2023), Omni Family Health (468.344 persone ad agosto 2024) e Arisa Health (375.436 persone a marzo 2024). Con una mossa audace, Hunters ha persino contattato singoli pazienti del Fred Hutchinson Cancer Centre, chiedendo 50 dollari per cancellare i dati rubati.

Secondo quanto riportato da Forescout, questa operazione RaaS ha causato 24 vittime tra le organizzazioni solo nel mese di novembre 2024, con una media di una al giorno (10 negli Stati Uniti, 2 nel Regno Unito, 7 nell'UE, 3 in Sud America e 2 in Asia).

La società di threat intelligence Group-IB ha riferito nell'aprile 2025 che Hunters International stava cambiando nome in World Leaks. Questa nuova operazione si concentra esclusivamente sul furto di dati e sull'estorsione, abbandonando l'aspetto crittografico del ransomware tradizionale.

Rebecca Moody, responsabile della ricerca sui dati di Comparitech, ha commentato questo cambiamento, suggerendo che non si tratta di un cambio di rotta, ma piuttosto di un passaggio verso un flusso di entrate "potenzialmente più redditizio" nel furto di dati. Ha osservato che World Leaks "non è una gang di ransomware", poiché il "ware" (la crittografia) è completamente assente nei loro attacchi.

World Leaks ha già rivendicato la responsabilità di 33 attacchi, tra cui quelli a Chain IQ (Svizzera) e Freedom Healthcare in Colorado. A sorpresa, Hunters International ha dichiarato che offrirà gratuitamente un software di decrittazione alle aziende infettate dal suo ransomware che non hanno ancora pagato il riscatto.

Tuttavia, Moody ritiene che molte vittime avranno già ripristinato i propri sistemi, rendendo l'offerta in gran parte simbolica, data l'inattività del gruppo in nuovi attacchi di crittografia da maggio 2025. Ciononostante, questa transizione segna un'evoluzione significativa nella comunità dei criminali informatici, con l'estorsione di dati che sta diventando una minaccia sempre più diffusa e mirata.