El grupo de ransomware Hunters International anuncia su cierre de operaciones y libera herramientas de recuperación
.jpg)
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
Hunters International, uno de los grupos de ransomware más activos y peligrosos de los últimos años, ha comunicado oficialmente el fin de sus operaciones. A través de un anuncio publicado en su sitio dentro de la darknet, la organización criminal confirmó que cesará sus actividades y, como parte de su retiro, pondrá a disposición de las empresas afectadas herramientas gratuitas para descifrar los datos que fueron encriptados durante sus ataques.
El comunicado explica:
“Cierre del Proyecto y Software de Descifrado Gratuito para las Empresas Afectadas”
En Hunters International, deseamos informarles sobre una decisión importante relacionada con nuestras operaciones. Tras una cuidadosa consideración y a la luz de los recientes acontecimientos, hemos decidido cerrar el proyecto de Hunters International. Esta decisión no se tomó a la ligera y reconocemos el impacto que tiene en las organizaciones con las que hemos interactuado.
Como muestra de buena voluntad y para ayudar a las personas afectadas por nuestras actividades anteriores, ofrecemos software de descifrado gratuito a todas las empresas afectadas por nuestro ransomware. Nuestro objetivo es garantizar que puedan recuperar sus datos cifrados sin la carga de pagar rescates.
Entendemos los desafíos que plantean los ataques de ransomware y esperamos que esta iniciativa les ayude a recuperar el acceso a su información crítica de forma rápida y eficiente. Para acceder a las herramientas de descifrado y recibir orientación sobre el proceso de recuperación, visiten nuestro sitio web oficial.
Agradecemos su comprensión y cooperación durante esta transición. Nuestro compromiso de apoyar a las organizaciones afectadas sigue siendo nuestra prioridad al concluir nuestras operaciones.
Según lo declarado por el propio grupo, esta decisión fue el resultado de un análisis exhaustivo y responde a eventos recientes cuyos detalles no fueron divulgados. No obstante, ya en noviembre de 2024, Hunters International había adelantado su intención de reducir la escala de sus actividades, en parte debido al creciente interés de las agencias de seguridad en su operación y a la disminución de la rentabilidad de sus ataques.
Como muestra de lo que describen como un gesto de buena voluntad, la banda promete entregar sin costo los programas de descifrado a las organizaciones que fueron víctimas de sus operaciones. Asimismo, eliminaron por completo la sección de su portal donde anteriormente publicaban los datos extraídos de aquellas empresas que se negaban a pagar el rescate. Ahora, cualquier entidad afectada puede solicitar tanto los descifradores como las instrucciones necesarias para recuperar su información.
Este anuncio se produce poco tiempo después de que en abril de 2025, Hunters International había reformulado su estructura y lanzado un nuevo proyecto bajo el nombre World Leaks. Este nuevo esfuerzo criminal se enfocaba exclusivamente en el robo de datos y su posterior uso para extorsión, dejando de lado la tradicional combinación de cifrado y filtración. Para esta nueva modalidad, el grupo desarrolló su propia herramienta de exfiltración de datos, considerada una versión mejorada del sistema empleado en operaciones previas.
Hunters International apareció en el radar de la ciberseguridad a finales de 2023 y rápidamente llamó la atención de los especialistas por la similitud de su código malicioso con el utilizado por Hive, otro grupo de ransomware desmantelado. Esta coincidencia alimentó las sospechas sobre un posible cambio de identidad. En menos de dos años, el grupo logró comprometer a cerca de 300 organizaciones a nivel global, afectando tanto a grandes corporaciones como a empresas medianas. Las demandas de rescate variaban entre cientos de miles y varios millones de dólares, dependiendo del tamaño de la organización atacada.
Entre las víctimas más destacadas de Hunters International se encuentran el Servicio de Alguaciles de Estados Unidos, la corporación japonesa Hoya, Tata Technologies, la cadena norteamericana de concesionarios AutoCanada, el contratista de la Marina estadounidense Austal USA y la organización médica sin fines de lucro más grande de Oklahoma, Integris Health. Además, en diciembre de 2024, el grupo se adjudicó un ataque al Centro Oncológico Fred Hutch, amenazando con divulgar los datos de más de 800,000 pacientes si la institución no accedía a sus exigencias.
En el caso de México, el sitio de filtraciones del grupo documentó ataques a empresas como Kenworth del Sur, Vermeer México, Quálitas México, Cosmocolor e IDESA Group, S.A. de C.V., demostrando así su alcance internacional y su capacidad para afectar distintos sectores económicos.
El malware utilizado por Hunters International se destacaba por su versatilidad y capacidad para operar en múltiples entornos. Era compatible con diversos sistemas operativos y arquitecturas, incluyendo servidores Windows, Linux, FreeBSD, SunOS y VMware ESXi, y podía ejecutarse en plataformas x64, x86 y ARM, lo que lo convertía en una amenaza de gran alcance para infraestructuras tecnológicas de distinta índole.
A pesar del anuncio oficial sobre su disolución, analistas de ciberseguridad se mantienen escépticos y no descartan que los miembros del grupo puedan continuar sus actividades bajo otro nombre o integrarse a nuevas organizaciones delictivas. Esta práctica es común en el ecosistema del cibercrimen, donde los cambios de identidad, reagrupamientos y reapariciones bajo nuevos proyectos son una constante.
En cualquiera de estos escenarios — ya sea mediante un cambio de nombre o a través de su división en nuevas agrupaciones — , el nivel de amenaza suele aumentar, complicando aún más los esfuerzos de las autoridades por rastrearlos y detenerlos.
El cierre de Hunters International marca el fin de una etapa para uno de los grupos más notorios en la escena del ransomware, pero también plantea interrogantes sobre el futuro de sus integrantes y las posibles formas en que puedan volver a operar en el submundo digital.
Para más información, visite: https://www.silikn.com/
Como muestra de lo que describen como un gesto de buena voluntad, la banda promete entregar sin costo los programas de descifrado a las organizaciones que fueron víctimas de sus operaciones. Asimismo, eliminaron por completo la sección de su portal donde anteriormente publicaban los datos extraídos de aquellas empresas que se negaban a pagar el rescate. Ahora, cualquier entidad afectada puede solicitar tanto los descifradores como las instrucciones necesarias para recuperar su información.
Este anuncio se produce poco tiempo después de que en abril de 2025, Hunters International había reformulado su estructura y lanzado un nuevo proyecto bajo el nombre World Leaks. Este nuevo esfuerzo criminal se enfocaba exclusivamente en el robo de datos y su posterior uso para extorsión, dejando de lado la tradicional combinación de cifrado y filtración. Para esta nueva modalidad, el grupo desarrolló su propia herramienta de exfiltración de datos, considerada una versión mejorada del sistema empleado en operaciones previas.
Hunters International apareció en el radar de la ciberseguridad a finales de 2023 y rápidamente llamó la atención de los especialistas por la similitud de su código malicioso con el utilizado por Hive, otro grupo de ransomware desmantelado. Esta coincidencia alimentó las sospechas sobre un posible cambio de identidad. En menos de dos años, el grupo logró comprometer a cerca de 300 organizaciones a nivel global, afectando tanto a grandes corporaciones como a empresas medianas. Las demandas de rescate variaban entre cientos de miles y varios millones de dólares, dependiendo del tamaño de la organización atacada.
Entre las víctimas más destacadas de Hunters International se encuentran el Servicio de Alguaciles de Estados Unidos, la corporación japonesa Hoya, Tata Technologies, la cadena norteamericana de concesionarios AutoCanada, el contratista de la Marina estadounidense Austal USA y la organización médica sin fines de lucro más grande de Oklahoma, Integris Health. Además, en diciembre de 2024, el grupo se adjudicó un ataque al Centro Oncológico Fred Hutch, amenazando con divulgar los datos de más de 800,000 pacientes si la institución no accedía a sus exigencias.
En el caso de México, el sitio de filtraciones del grupo documentó ataques a empresas como Kenworth del Sur, Vermeer México, Quálitas México, Cosmocolor e IDESA Group, S.A. de C.V., demostrando así su alcance internacional y su capacidad para afectar distintos sectores económicos.
El malware utilizado por Hunters International se destacaba por su versatilidad y capacidad para operar en múltiples entornos. Era compatible con diversos sistemas operativos y arquitecturas, incluyendo servidores Windows, Linux, FreeBSD, SunOS y VMware ESXi, y podía ejecutarse en plataformas x64, x86 y ARM, lo que lo convertía en una amenaza de gran alcance para infraestructuras tecnológicas de distinta índole.
A pesar del anuncio oficial sobre su disolución, analistas de ciberseguridad se mantienen escépticos y no descartan que los miembros del grupo puedan continuar sus actividades bajo otro nombre o integrarse a nuevas organizaciones delictivas. Esta práctica es común en el ecosistema del cibercrimen, donde los cambios de identidad, reagrupamientos y reapariciones bajo nuevos proyectos son una constante.
En cualquiera de estos escenarios — ya sea mediante un cambio de nombre o a través de su división en nuevas agrupaciones — , el nivel de amenaza suele aumentar, complicando aún más los esfuerzos de las autoridades por rastrearlos y detenerlos.
El cierre de Hunters International marca el fin de una etapa para uno de los grupos más notorios en la escena del ransomware, pero también plantea interrogantes sobre el futuro de sus integrantes y las posibles formas en que puedan volver a operar en el submundo digital.
Para más información, visite: https://www.silikn.com/