Un grupo de ransomware muy activo en España cierra y ofrece a sus víctimas liberar sus equipos gratis. Se cree que tiene otros planes
Publicado el 08/07/2025 por Diario Tecnología Artículo original
Hunters International es un grupo de ransomware que en España fue muy conocido cuando se hizo con grandes cantidades de datos de CCOO, El Corte Inglés y Legálitas hace apenas unos meses. En el caso del sindicato comprometió alrededor de 570 GB de datos sensibles y la información acabó filtrada en la Dark Web.
Pues ahora acaban de anunciar el cierre de sus operaciones, con un anuncio muy curioso: ofrece a las víctimas que tengan sus sistemas secuestrados, el código para liberarlos de forma gratuita.
Al anunciar la noticia, la banda ha eliminado también todos los datos de las víctimas de su sitio de filtraciones en la dark web y emitió un comunicado confirmando su decisión:
"En Hunters International, deseamos informarles sobre una decisión importante con respecto a nuestras operaciones". "Tras una cuidadosa consideración y a la luz de los recientes acontecimientos, hemos decidido cerrar el proyecto Hunters International. Esta decisión no se tomó a la ligera y reconocemos el impacto que tiene en las organizaciones con las que hemos interactuado".
Hunter anunció además que, "como gesto de buena voluntad", entregará claves a todas las víctimas, aunque no parece que estén disponibles públicamente. Parece ser que hay que pedirlo directamente para recibir esas claves: "Entendemos los desafíos que plantean los ataques de ransomware y esperamos que esta iniciativa les ayude a recuperar el acceso a su información crítica de forma rápida y eficiente", añadió el comunicado. Para acceder a las herramientas de descifrado y recibir orientación sobre el proceso de recuperación, hay que visitar su sitio web oficial.
Cabe decir que los grupos de ciberdelincuentes que abandonan sus operaciones rara vez ofrecen claves de descifrado gratuitas, pero tampoco es algo inaudito.
El ransomware es "poco prometedor"
El comunicado no detalló los motivos de la decisión ni los "acontecimientos recientes", pero como recoge The Register, sí hay comunicados previos hablando sobre que el ransomware se estaba convirtiendo en un problema mayor de lo que realmente representaba.
En abril, los líderes del grupo afirmaron que el ransomware se había vuelto "poco prometedor, de baja conversión y extremadamente arriesgado", y agregaron que estaban considerando un cambio de rumbo. "Actualmente se están produciendo cambios en el mundo. Uno de ellos es el reconocimiento del ransomware como terrorismo, y los países que contribuyen o no hacen nada para combatirlo son designados como países que apoyan al terrorismo", decían hace unas semanas.
"Esta situación es inaceptable para la mayoría de los países, ya que tiene un impacto negativo en el sistema bancario externo. Esto significa que la lucha contra el ransomware está pasando del plano virtual al real, y esta vez nuestros propios estados están en nuestra contra. Las posibilidades de supervivencia, en tal situación, tienden a ser nulas".
La firma de inteligencia de amenazas Group-IB reveló en abril que Hunters International estaba cambiando su nombre con planes de centrarse en el robo de datos y los ataques exclusivamente de extorsión, y que había lanzado una nueva operación exclusivamente de extorsión conocida como "World Leaks".
Por ello, se espera que, simplemente continúe delinquiendo pero con algo que les salga más rentable. Cabe decir que World Leaks sigue vigente y opera con un modelo basado exclusivamente en la extorsión, mediante el cual los atacantes roban los datos de una empresa y los retienen para pedir un rescate sin implementar ningún tipo de cifrado de archivos. La página de la Dark Web del grupo está diseñada prácticamente con el mismo estilo que la de Hunters y actualmente cuenta con 31 víctimas.
Qué se sabe de Hunters International
Como ya recogimos en Genbeta en el pasado, al reportar el mencionado ataque a CCOO, el grupo de hackers, se cree que puede estar ubicado en Nigeria y emplea técnicas de phishing dirigido, enviando correos electrónicos maliciosos para engañar a los empleados y hacerles ejecutar malware.
Una vez dentro del sistema, los atacantes extraen datos antes de cifrarlos (lo que se conoce como ransomware), aumentando la presión sobre sus víctimas para que paguen el rescate.
Según la agencia de ciberseguridad Cyber Zaintza, Hunters International solía ir a por a organizaciones de sectores críticos como salud, educación y logística. Esta diversificación de objetivos sugiere que los ciberdelincuentes explotan la importancia de los datos de estos sectores para maximizar sus beneficios.
utm_campaign=08_Jul_2025"> Bárbara Bécares .