HellCat ve Morpheus fidye yazılımı operasyonlarının analizi, ilgili siber suç kuruluşlarıyla bağlantılı kuruluşların fidye yazılımı yükleri için aynı kodu kullandığını ortaya çıkardı.
Bulgular, Aralık 2024’ün sonuna doğru aynı gönderici tarafından VirusTotal kötü amaçlı yazılım tarama platformuna yüklenen yapıları analiz eden SentinelOne’dan geliyor.
Güvenlik araştırmacısı Jim Walter, The Hacker News ile paylaşılan yeni bir raporda “Bu iki yük örneği, kurbana özel veriler ve saldırganın iletişim bilgileri dışında aynıdır” dedi.
Hem HellCat hem de Morpheus, fidye yazılımı ekosistemine yeni girenler olup sırasıyla Ekim ve Aralık 2024’te ortaya çıktılar.
64 bitlik taşınabilir bir yürütülebilir dosya olan Morpheus/HellCat yükünün daha derinlemesine incelenmesi, her iki örneğin de giriş argümanı olarak belirtilmesi için bir yol gerektirdiğini ortaya çıkardı.
Her ikisi de \Windows\System32 klasörünün yanı sıra .dll, .sys, .exe, .drv, .com ve .cat gibi sabit kodlanmış uzantı listesini şifreleme işleminden hariç tutacak şekilde yapılandırılmıştır. şifreleme işlemi.
Walter, “Bu Morpheus ve HellCat yüklerinin olağandışı bir özelliği, hedeflenen ve şifrelenmiş dosyaların uzantısını değiştirmemeleridir” dedi. “Dosya içerikleri şifrelenecek, ancak dosya uzantıları ve diğer meta veriler fidye yazılımı tarafından işlendikten sonra bozulmadan kalacak.”
Ayrıca Morpheus ve HellCat örnekleri, anahtar oluşturma ve dosya şifreleme için Windows Şifreleme API’sini kullanır. Şifreleme anahtarı BCrypt algoritması kullanılarak oluşturulur.
Dosyaların şifrelenmesi ve aynı fidye notlarının bırakılması dışında, etkilenen sistemlerde masaüstü duvar kağıdının değiştirilmesi veya kalıcılık mekanizmalarının ayarlanması gibi başka hiçbir sistem değişikliği yapılmaz.
SentinelOne, HellCat ve Morpheus’a yönelik fidye notlarının, 2023’te ortaya çıkan başka bir fidye yazılımı planı olan Underground Team ile aynı şablonu takip ettiğini, ancak fidye yazılımı yüklerinin yapısal ve işlevsel olarak farklı olduğunu söyledi.
Walter, “HellCat ve Morpheus RaaS operasyonları ortak bağlı kuruluşları işe alıyor gibi görünüyor” dedi. “Bu hizmetlerin sahipleri ve operatörleri arasındaki etkileşimin tamamını değerlendirmek mümkün olmasa da, her iki gruba bağlı bağlı kuruluşlar tarafından paylaşılan bir kod tabanı veya muhtemelen paylaşılan bir oluşturucu uygulamasından yararlanıldığı görülüyor.”
Gelişme, kolluk kuvvetlerinin tehditle mücadele etmeye yönelik devam eden girişimlerine rağmen, fidye yazılımının giderek daha parçalı bir şekilde de olsa gelişmeye devam etmesiyle ortaya çıkıyor.
Trustwave, “Finansal amaçlı fidye yazılımı ekosistemi, giderek daha büyük grupların aksamalarının teşvik ettiği bir eğilim olan operasyonların merkezi olmayan yapısıyla karakterize ediliyor.” dedi. “Bu değişim, daha küçük, daha çevik aktörlerin önünü açarak parçalı ama dirençli bir manzarayı şekillendirdi.”
NCC Group tarafından paylaşılan veriler, yalnızca Aralık 2024’te rekor düzeyde 574 fidye yazılımı saldırısının gözlemlendiğini ve FunkSec’in 103 olaydan sorumlu olduğunu gösteriyor. Diğer yaygın fidye yazılımı gruplarından bazıları Cl0p (68), Akira (43) ve RansomHub (41) idi.
NCC Grubu Tehdit İstihbaratı Operasyonları ve Hizmet İnovasyon Direktör Yardımcısı Ian Usher, “Aralık genellikle fidye yazılımı saldırıları için çok daha sessiz bir dönemdir, ancak geçen ay rekor sayıda fidye yazılımı saldırısı görüldü ve bu durum bu modeli tersine çevirdi” dedi. .
“Bu saldırıların ön saflarında yer alan FunkSec gibi yeni ve agresif aktörlerin yükselişi endişe verici ve 2025’e doğru daha çalkantılı bir tehdit manzarasının ortaya çıkacağını gösteriyor.”