Un análisis de las operaciones de ransomware HellCat y Morpheus ha revelado que los afiliados asociados con las respectivas entidades de cibercrimen están utilizando código idéntico para sus cargas útiles de ransomware.
Los hallazgos provienen de SentinelOne, que analizó los artefactos cargados en la plataforma de escaneo de malware VirusTotal por el mismo remitente hacia fines de diciembre de 2024.
“Estas dos muestras de carga útil son idénticas excepto por los datos específicos de la víctima y los detalles de contacto del atacante”, dijo el investigador de seguridad Jim Walter. dicho en un nuevo informe compartido con The Hacker News.
Ambos gato infernal y Morfeo son participantes incipientes en el ecosistema de ransomware, que surgieron en octubre y diciembre de 2024, respectivamente.
Un examen más profundo de la carga útil de Morpheus/HellCat, un ejecutable portátil de 64 bits, ha revelado que ambas muestras requieren que se especifique una ruta como argumento de entrada.
Ambos están configurados para excluir la carpeta WindowsSystem32, así como una lista codificada de extensiones del proceso de cifrado, a saber, .dll, .sys, .exe, .drv, .com y .cat, del proceso de cifrado.
“Una característica inusual de estas cargas útiles de Morpheus y HellCat es que no alteran la extensión de los archivos cifrados y específicos”, dijo Walter. “El contenido del archivo se cifrará, pero las extensiones de archivo y otros metadatos permanecerán intactos después de ser procesados por el ransomware”.
Además, las muestras de Morpheus y HellCat se basan en la API criptográfica de Windows para la generación de claves y el cifrado de archivos. La clave de cifrado se genera utilizando el BCripta algoritmo.
Salvo cifrar los archivos y publicar notas de rescate idénticas, no se realizan otras modificaciones en los sistemas afectados, como cambiar el fondo de pantalla del escritorio o configurar mecanismos de persistencia.
SentinelOne dijo que las notas de rescate de HellCat y Morpheus siguen el mismo modelo que Equipo subterráneootro esquema de ransomware que surgió en 2023, aunque las cargas útiles del ransomware en sí son estructural y funcionalmente diferentes.
“Las operaciones HellCat y Morpheus RaaS parecen estar reclutando afiliados comunes”, dijo Walter. “Si bien no es posible evaluar el alcance total de la interacción entre los propietarios y operadores de estos servicios, parece que los afiliados vinculados a ambos grupos están aprovechando una base de código compartida o posiblemente una aplicación de creación compartida”.
Este avance se produce mientras el ransomware continúa prosperando, aunque de manera cada vez más fragmentada, a pesar de los continuos intentos de las agencias de aplicación de la ley para abordar la amenaza.
“El ecosistema de ransomware con motivación financiera se caracteriza cada vez más por la descentralización de las operaciones, una tendencia impulsada por las interrupciones de grupos más grandes”, Trustwave dicho. “Este cambio ha allanado el camino para actores más pequeños y ágiles, dando forma a un panorama fragmentado pero resiliente”.
Datos compartidos por el Grupo NCC muestra que solo en diciembre de 2024 se observó un récord de 574 ataques de ransomware, de los cuales FunkSec representó 103 incidentes. Algunos de los otros grupos de ransomware frecuentes fueron Cl0p (68), Akira (43) y RansomHub (41).
“Diciembre suele ser una época mucho más tranquila para los ataques de ransomware, pero el mes pasado se registró el mayor número de ataques de ransomware registrados, lo que cambió ese patrón”, dijo Ian Usher, director asociado de Operaciones de inteligencia de amenazas e innovación de servicios en NCC Group, dicho.
“El surgimiento de actores nuevos y agresivos, como FunkSec, que han estado a la vanguardia de estos ataques es alarmante y sugiere un panorama de amenazas más turbulento de cara a 2025”.
About the Author
