Siber güvenlik alanında, HellCat ve Morpheus gibi operasyonların ortaya çıkmasıyla birlikte 2024’ün ikinci yarısından 2025’in başlarına kadar fidye yazılımı faaliyetlerinde bir artış yaşandı.
FunkSec, Nitrogen ve Termite gibi önemli gruplar yükselişlerinin yanı sıra ilgi çekerken, köklü aktörler Cl0p ve LockBit fidye yazılımlarının yeni sürümlerini piyasaya sürerek tehdidi daha da güçlendirdi.
Bunlar arasında, her ikisi de Hizmet Olarak Fidye Yazılımı (RaaS) modeli altında çalışan HellCat ve Morpheus, artan karmaşıklıkları, hedefli saldırıları ve operasyonel benzerlikleri nedeniyle büyük ilgi gördü.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
HellCat’in Agresif Genişlemesi
2024’ün ortalarında piyasaya sürülen HellCat, kendisini RaaS alanında yüksek profilli bir aktör olarak konumlandırdı.
Liderliğinin, Rey, Pryx, Grep ve IntelBroker gibi takma adlar altındaki kişiler de dahil olmak üzere BreachForums topluluğunun önde gelen üyelerinden oluştuğu bildiriliyor.
Grup, özellikle devlet kurumlarına ve “büyük oyun” mağdurlarına odaklanarak yüksek değerli varlıkları hedef aldı.
HellCat’in operatörleri, siber suç ekosistemindeki itibarlarını sağlamlaştırmak için medya görünürlüğünden ve yeni fidye taleplerinden yararlandı.
Veri sızıntısı sitesini Aralık 2024’te açıklayan Morpheus, HellCat’e kıyasla daha ölçülü markalaşma çalışmaları sergiledi.
Kökenleri Eylül 2024’e kadar uzanan operasyon, ilaç ve imalat gibi sektörleri hedef alan yarı özel bir RaaS işlevi görüyor.
Son saldırılar, sanal ESXi ortamlarına odaklanıldığını ve fidye taleplerinin 32 BTC’ye (yaklaşık 3 milyon ABD Doları) ulaştığını gösteriyor.
Morpheus’a bağlı kuruluşlar, düşük profillerine rağmen, özellikle İtalya’daki kuruluşları hedefleme konusunda son derece aktif olmaya devam ediyor.
Kod Paylaşımının Kanıtı
Önemli bir bulgu, Aralık 2024’ün sonlarında, araştırmacıların 22 Aralık ve 30 Aralık tarihlerinde VirusTotal’a yüklenen ve neredeyse aynı kodu paylaşan iki fidye yazılımı örneğini keşfettiklerinde ortaya çıktı.
Hem HellCat hem de Morpheus kampanyalarına bağlı olan yükler, telemetri verilerine dayanarak aynı bağlı kuruluşa kadar takip edildi.
Boyutu yaklaşık 18 KB olan 64 bit PE dosyaları olan bu yükler, Windows/System32 gibi kritik sistem klasörleri için şifrelemeyi hariç tutmak ve atlamak için sabit kodlu bir dosya uzantıları listesi kullanır.
Fidye yazılımı dosya içeriğini şifrelerken, özellikle dosya uzantılarını veya meta verileri değiştirmez; bu, birçok yerleşik fidye yazılımı ailesinden bir sapmadır.
Daha ayrıntılı inceleme, Windows Şifreleme API’sinin ortak kullanımını, özellikle anahtar oluşturma ve şifreleme için BCrypt’i kullandığını ortaya çıkardı.
Fidye yazılımı arkasında bir fidye notu bırakır (BENİOKU.txt) kurbanların, sağlanan kimlik bilgilerini kullanarak saldırganların .onion portallarına nasıl erişebileceklerine ilişkin ayrıntıları içerir.
Fidye notu şablonu da dahil olmak üzere operasyonel benzerliklere rağmen, daha önce aktif olan Yeraltı Ekibi RaaS ile daha derin bir bağlantı veya ortak kod tabanı olduğunu gösteren kesin bir kanıt yok.
Sentinel One’a göre HellCat ve Morpheus yüklerindeki çarpıcı benzerlik, bağlı kuruluşlar arasında paylaşılan bir oluşturucu uygulamasının veya kod tabanının potansiyel kullanımını vurguluyor.
Bu gelişme, araç ve tekniklerin kötü niyetli aktörler arasında giderek daha fazla paylaşıldığı fidye yazılımlarının artan sanayileşmesinin altını çiziyor.
HellCat ve Morpheus operatörleri arasındaki kesin ilişki belirsizliğini korusa da faaliyetleri, RaaS operasyonlarının giderek artan karmaşıklığını ve çeşitli sektörleri tehlikeye atma yeteneklerini vurguluyor.
HellCat ve Morpheus, fidye yazılımının evriminde operasyonel örtüşmelerin ve paylaşılan kaynakların farklı gruplar arasındaki çizgileri bulanıklaştırdığı daha geniş bir eğilimi temsil ediyor.
Her iki grup da işletmeleri ve devlet kurumlarını hedef almaya devam ederken, ortak metodolojilerini anlamak, güvenlik profesyonelleri için tespit ve müdahale stratejilerinin geliştirilmesinde önemli bir rol oynayabilir.
Siber güvenlik topluluğu, etkilerini etkili bir şekilde azaltmak için ortaya çıkan bu tehditleri takip etme konusunda dikkatli kalmalıdır.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri