Morpheus та HellCat Ransomware: Виявлено спільну кодову базу
Всеосяжний аналіз операцій ransomware Morpheus та HellCat виявив вражаючі схожості в їхніх payload'ах, що вказує на використання спільної кодової бази.
Висновки, опубліковані кібербезпековою компанією SentinelOne, ґрунтуються на артефактах, завантажених до VirusTotal наприкінці грудня 2024 року одним і тим самим користувачем.
“Ці два зразки payload майже ідентичні, відрізняються лише даними, специфічними для жертв, та контактною інформацією атакувальників,” зазначив дослідник з безпеки SentinelOne Джим Уолтер у звіті, поділеному з The Hacker News.
Ransomware з однаковими коренями
Як Morpheus, так і HellCat є новими представниками ransomware ландшафту, які з'явились у жовтні та грудні 2024 року відповідно. Під час більш детального аналізу дослідники виявили ключові схожості між їхніми payload'ами:
- Архітектура: Обидва зразки є 64-бітними portable executables, що вимагають вказаного шляху як вхідного аргументу.
- Поводження з шифруванням: Ransomware виключає директорію
\Windows\System32та певні розширення файлів (.dll, .sys, .exe, .drv, .com та .cat) з процесу шифрування. - Метадані файлів: На відміну від типового ransomware, жоден з них не змінює розширення файлів або метадані зашифрованих файлів.
- Механізм шифрування: Вони використовують Cryptographic API Windows та алгоритм BCrypt для генерації ключів та шифрування файлів.
“Незвичайною рисою Morpheus та HellCat є те, що вони шифрують вміст файлів, але залишають їх розширення незмінними,” додав Уолтер.
Окрім шифрування файлів і залишення заміток з вимогою викупу, payload'и не вносять додаткових змін, таких як зміна шпалер робочого столу або встановлення механізмів стійкості.
Замітки з вимогою викупу та підземні посилання
Обидва зразки ransomware використовують замітки з вимогою викупу, які сильно нагадують ті, що використовує ransomware Underground Team, активний з 2023 року. Однак самі payload'и функціонально відрізняються від операцій Underground Team.
Звіт також вказує на те, що афілійовані з Morpheus та HellCat, ймовірно, використовують спільну кодову базу або builder-застосунок, що свідчить про співпрацю чи обмін ресурсами між двома групами.
“Операції Morpheus та HellCat RaaS здається, набирають однакових афілійованих,” пояснив Уолтер.
Екосистема ransomware: децентралізована та стійка
Це відкриття підкреслює фрагментацію та еволюцію екосистеми ransomware. Незважаючи на невпинні зусилля правоохоронних органів, атаки ransomware продовжують процвітати, з меншими децентралізованими групами, що заповнюють прогалину, створену у результаті припинення діяльності великих гравців.
“Фінансово мотивований ландшафт ransomware стає дедалі більш фрагментованим,” сказав Trustwave. “Ця децентралізація дозволила меншим, більш маневреним акторам домінувати на загрозливому ландшафті.”
Рекордна активність ransomware в грудні 2024 року
Згідно з даними NCC Group, грудень 2024 року став свідком безпрецедентних 574 атак ransomware, зокрема від таких учасників, як:
- FunkSec: 103 інциденти
- Cl0p: 68 інцидентів
- Akira: 43 інциденти
- RansomHub: 41 інцидент
“Грудень традиційно є спокійнішим місяцем для ransomware активності, але минулого місяця було зафіксовано найвищу кількість атак, яку коли-небудь реєстрували,” сказав Іан Ашер, асоційований директор операцій з розвідки загроз в NCC Group.
Він додав, “Поява таких агресивних груп, як FunkSec, сигналізує про більш турбулентний ландшафт загроз на 2025 рік.”
оригінальний пост: easy4hub.blogspot.com
Перекладено з: Experts Uncover Shared Codebase Linking Morpheus and HellCat Ransomware