獨家／群光快看！萬惡駭客Hunters閃電謝幕　專家示警「已變身」

民視新聞／蘇恩民報導

曾讓台灣高科技產業聞風喪膽的勒索軟體駭客組織Hunters International，今晚突然在暗網發出震撼聲明，宣布將關閉Hunters International退出江湖，同時作為「善意的表示」，承諾為所有受害公司免費提供解密軟體服務。這項出人意料的發展，雖許多企業鬆一口氣，但資安界已偵測到不尋常跡證，並發出警示：Hunters International的消失，恐怕是新一波進化型攻擊的開端。

Hunters International在聲明中指出，他們是在「仔細考慮並鑑於最近的發展」後，迅速做出了這項決定，並理解這可能對受影響組織產生的影響。其主要目標是「確保您可以恢復加密數據而無需支付贖金的負擔」，並稱此舉旨在幫助企業重新獲得數據存取權限。欲取得解密工具與恢復指南，受害者可造訪Hunters International的官方網站。

從崛起走向惡名昭彰：Hunters的台灣攻擊史

Hunters International自2023年第三季浮出水面以來，便以驚人的速度發展，迅速成為全球最活躍的駭客組織之一。其之所以能快速崛起，業界普遍認為它與曾經極度危險且資金充裕的Hive勒索軟體組織有著密切關聯。Hive在2023年1月遭美國FBI攻破後停止運作。研究顯示，Hunters International的程式碼與Hive的程式碼之間存在高達60%的重疊性。資安研究員Martin Zugec指出，Hive團隊的領導層做出了停止運營並將剩餘資產轉移給Hunters International的戰略決策，這不僅包含了操作知識，連原始碼也被轉移，為Hunters International提供了完整的惡意操作工具。

繼承Hive高技術滲透能力的Hunters International，主要鎖定高價值科技企業進行資料竊取及勒索牟利，對全球及台灣產業安全構成重大威脅。他們的攻擊手法結合了零日漏洞、社交工程手法以及自訂的多階段惡意程式，使得入侵難以察覺。駭客通常透過精心設計的網路釣魚攻勢誘騙特定人員下載惡意檔案以獲取初始存取權限。隨後，他們運用零日漏洞在短時間內提升權限，取得對企業內部網絡的高階權限，並深度滲透至關鍵系統中。其多階段惡意程式具備自我掩蔽和逆向分析防禦功能，能有效躲避傳統防毒軟體。

一旦部署成功，程式會進行橫向移動，透過破解內部憑證和提權工具擴展感染範圍，並搜集公司敏感資料，如技術文件、客戶資料及供應鏈合約資訊等高度機密商業資料。Hunters International的勒索軟體可以在Windows和Linux環境中加密檔案，在受影響檔案上添加「.LOCKED」副檔名，並留下「Contact Us.txt」檔案指導受害者協商。此外，他們還有能力禁用備份和終止進程，以阻止數據恢復。

曝光SpaceX檔案　驚動馬斯克

在台灣，Hunters International曾多次針對重要企業進行網路攻擊，其中受害最深的企業，莫過於群光電子。去年4月16日Hunters International在暗網公布群光受駭訊息，聲稱取得1.2TB、414萬個檔案，同月4月20日又上架群光合作廠商機密資料，除了公布GoPro的研發設計圖，還曝光SpaceX的資料夾，容量高達149.9GB，甚至有資安專家在社群媒體標註SpaceX創辦人馬斯克，提醒他資料正遭受威脅，引發國際關注。

除了群光電子，Hunters International的台灣受害者名單還包括：知名生技公司大江生醫於2023年11月被盜取236GB資料，超過十萬個檔案，範圍涵蓋客戶投訴數據、資料庫備份檔（HR、CRM等）、財務數據、營業單位數據（訂單、產品配方、實驗室測試等）、美國子公司數據以及客戶數據。

台塑美國公司也在2024年5月被入侵，駭客聲稱取得1.2TB、約230萬份資料，包含訴訟文件、個人識別資訊（PII）、財務數據、客戶數據和技術數據等；同月Hunters International公布駭入台灣一家輝達供應商，竊取435GB資料約53萬個檔案，並將檔案設置為「View」，可供任何人連結下載。還有一家知名電信寬頻設備大廠，也於2024年11月14日被Hunters International列為攻擊目標。

此外，國際重大受害者名單包括U.S. Marshals Service（美國法警）、HOYA（日本光學大廠）、Tata Technologies（印度工業工程）、AutoCanada（北美汽車經銷商集團）、Austal USA（美國海軍承包商）、Integris Health（奧克拉荷馬最大非營利醫療系統）、Fred Hutch Cancer Center（美國癌症研究中心）。

專家示警：不是結束　而是「變身」

這樣一個高調、活躍且具備複雜技術的勒索軟體集團突然宣布關閉，著實令人費解。資安業者提醒各大企業切勿鬆懈資安防護，因為駭客為了保持連續性並避免執法調查，經常會進行品牌重塑、重組或重新定位其業務等變化。因此，表面看來，這項聲明似乎帶有悔意與「善意」，但在資安專家眼中，這更可能是一次經過計算的「策略性退場」——或者說，是更具欺騙性的轉型前奏。

事實上，資安專家已觀察到許多不尋常的跡象，顯示Hunters International疑似已改頭換面為新興集團「World Leaks」，這些跡證包括：World Leaks暗網站台架構與視覺設計大致與Hunters雷同；都採用僅竊資料，不再加密檔案的純洩漏模式；目前已公布全球受害者名單不乏科技、製造與醫療產業單位；都會主動聯絡媒體，提供「即將攻擊名單」，意圖擴大壓力與影響力。

資安公司竣盟科技總經理鄭加海認為，Hunters International的消失不代表勒索威脅的終結，而是新一波進化型攻擊的開端，我們正進入一個不再依賴加密手段、而以「資料外洩勒索」為核心的下一代攻擊時代，企業要防範的，不再只是惡意加密，而是「被精準威脅公開」的壓力與風險。

 鄭加海也給台灣企業三點資安提醒：1.如曾遭Hunters攻擊，應立即聯絡專業資安團隊，避免自行操作未經驗證的解密工具，避免二次感染。2.持續監控暗網、資料外洩通報平台，特別關注World Leaks是否出現自家名稱或關聯資料。3.強化資安演練與供應鏈監控，確保資料外洩事件發生時具備快速應變與溝通流程。