hunters: cómo recuperar tus archivos y qué hacer

Esta guía es orientativa y se actualiza conforme surge nueva información. No garantiza la recuperación de archivos.

Resumen

Hunters International es un grupo de ransomware y extorsión que surgió a finales de 2023 y que, según los propios actores, adquirió el código fuente del ransomware Hive [1]. A diferencia de operaciones tradicionales centradas en el cifrado, este grupo prioriza el robo de datos como mecanismo de presión durante la extorsión [1]. A la fecha de redacción, no existe un descifrador gratuito conocido públicamente para los archivos cifrados por Hunters International.

TL;DR

• No pagues de inmediato ni borres nada. Aísla los equipos afectados conservando la evidencia.
• No hay descifrador gratuito conocido para Hunters International [1]. Desconfía de cualquier herramienta que prometa lo contrario.
• Desconecta de la red, no apagues las máquinas (preserva memoria y artefactos).
• Asume que hubo robo de datos (doble extorsión): este grupo prioriza la exfiltración sobre el cifrado [1].
• Identifica el alcance: cuentas comprometidas, accesos remotos (RDP/VPN) y movimiento lateral.
• Restaura desde copias de seguridad offline/inmutables verificadas como limpias.
• Reporta el incidente a las autoridades y considera asesoría legal por posible filtración de datos.
• ¿Necesitas ayuda? (800) 649-0625 · [email protected].

1. Qué es hunters

Hunters International (también referido como "hunters") es una operación de ransomware-as-a-service y extorsión que apareció a mediados/finales de octubre de 2023. Según reportes basados en declaraciones de los propios actores, el grupo compró el código fuente del ransomware Hive , junto con su sitio y versiones antiguas desarrolladas en Golang y C, pocos días antes de la operación de Europol contra Hive; esta compra solo ha sido reportada por los actores, sin evidencia concreta [1].

Los operadores afirmaron haber corregido los errores del cifrador de Hive que en algunos casos impedían el descifrado, y declararon que el cifrado de archivos no sería su foco principal, sino que utilizarían el robo de datos como método de presión durante los intentos de extorsión [1]. Este modelo de doble extorsión implica que, aunque exista o no cifrado, la amenaza central es la publicación de datos robados.

2. Cómo identificar la infección (notas, extensiones, IOCs)

Con la información verificada disponible, los indicadores específicos son limitados:

• Nombre de la nota de rescate: no disponible (n/d) en los datos verificados.
• Extensiones de archivos cifrados: no disponibles (n/d) en los datos verificados.
• Indicadores de comportamiento útiles (no exclusivos de este grupo, pero típicos en estos incidentes):
  • Aparición de notas de rescate en carpetas y/o archivos renombrados que ya no abren con sus aplicaciones nativas.
  • Picos de actividad de red por exfiltración hacia destinos externos antes del cifrado.
  • Creación de cuentas nuevas, escalamiento de privilegios y uso de herramientas legítimas de administración (living-off-the-land).
  • Borrado de copias de respaldo y de shadow copies.

Importante: dado que no contamos con la nota ni la extensión verificadas, no asumas una familia concreta solo por una extensión. Conserva muestras de la nota y de archivos cifrados para análisis forense e identificación formal.

3. Pasos inmediatos (contención, preservación de evidencia)

1. Aísla, no destruyas. Desconecta los equipos afectados de la red (cable/Wi-Fi, deshabilita puertos). No los apagues si es posible: la memoria RAM puede contener claves o artefactos.
2. Detén la propagación. Bloquea cuentas comprometidas, revoca sesiones y tokens, deshabilita accesos remotos (RDP, VPN) expuestos.
3. Preserva evidencia. Toma imágenes forenses de discos y, cuando aplique, volcado de memoria. Recolecta registros (EDR, firewall, VPN, autenticación, DNS, proxy).
4. Resguarda muestras. Copia la nota de rescate y varios archivos cifrados (en medio aislado) para identificación y eventual análisis.
5. Identifica alcance de exfiltración. Revisa transferencias salientes inusuales; este grupo se centra en el robo de datos [1].
6. Comunicación segura. Asume que el correo y chat internos pueden estar comprometidos; usa canales fuera de banda.
7. Notifica. Activa tu plan de respuesta a incidentes, equipo legal y, según jurisdicción, a las autoridades competentes.

4. Opciones de recuperación

Aviso prominente y honesto: NO existe un descifrador gratuito conocido públicamente para Hunters International. Cualquier sitio o programa que afirme "descifrar gratis" archivos de este grupo debe tratarse como sospechoso: muchas de esas herramientas son fraudes o malware adicional.

Opciones realistas, en orden de preferencia:

1. Restauración desde copias de seguridad limpias. Es la vía más confiable. Usa respaldos offline o inmutables, verifica que estén libres de la amenaza y restaura en un entorno reconstruido y endurecido.
2. Reconstrucción de sistemas. Reinstala desde cero los hosts comprometidos; no reutilices binarios o configuraciones potencialmente alteradas.
3. Conservar copias cifradas. Si no hay respaldo, guarda los archivos cifrados. En el futuro podría aparecer un descifrador o las autoridades podrían incautar claves; no los borres.
4. Evaluación del pago (último recurso, con cautela). El pago no garantiza recuperación ni que los datos robados no se publiquen, puede tener implicaciones legales y financia más ataques. Decídelo solo con asesoría legal y especializada.
5. No confíes en "descifradores universales". Verifica cualquier herramienta únicamente con fuentes legítimas y reconocidas.

Recuerda: por el modelo de doble extorsión de este grupo, descifrar archivos no resuelve el riesgo de filtración de datos ya robados [1]. La gestión del incidente debe incluir el tratamiento de la posible fuga de información.

5. Prevención y endurecimiento

• Copias de seguridad 3-2-1 con al menos una copia offline/inmutable y pruebas periódicas de restauración.
• MFA en todo acceso remoto y administrativo (VPN, RDP, correo, consolas).
• Reduce superficie de ataque: cierra RDP expuesto a Internet; usa VPN segura y segmentación de red.
• Parcheo prioritario de servicios perimetrales y software vulnerable.
• EDR/XDR con detección de comportamiento y respuesta; monitoreo de exfiltración (DLP, egress).
• Principio de menor privilegio, cuentas administrativas separadas y gestión de credenciales.
• Protección de respaldos (cuentas dedicadas, sin acceso desde el dominio principal).
• Plan de respuesta a incidentes probado y contactos definidos previamente.

Advertencias honestas (limitaciones)

• La afirmación sobre la compra del código de Hive proviene de los propios actores y carece de evidencia concreta [1]; tómala con reserva.
• No disponemos de nombre de nota ni de extensión verificados, por lo que la identificación definitiva requiere análisis forense.
• No existe descifrador gratuito conocido; esto puede cambiar, pero hoy no debes contar con ello.
• Esta guía es informativa y no sustituye asesoría legal ni una investigación forense formal.

¿Necesitas apoyo para identificar la variante, contener el incidente o evaluar la recuperación? Contáctanos: (800) 649-0625 · [email protected].

Referencias

[1] Ransomware.live, "Hunters International, Group profile," ransomware.live. [En línea]. Disponible en: https://www.ransomware.live/ (consultado en 2024).

[2] Europol, "Cybercriminals stung as HIVE infrastructure shut down," Europol Press Release, 2023. [En línea]. Disponible en: https://www.europol.europa.eu/

[3] U.S. Cybersecurity and Infrastructure Security Agency (CISA), "Stop Ransomware Guide," CISA, 2023. [En línea]. Disponible en: https://www.cisa.gov/stopransomware

[4] No More Ransom Project, "Decryption Tools," europol/NHTCU. [En línea]. Disponible en: https://www.nomoreransom.org/