{"id":1545648,"date":"2025-01-23T14:12:35","date_gmt":"2025-01-23T14:12:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-expertos-encuentran-una-base-de-codigo-compartida-que-vincula-las-cargas-utiles-del-ransomware-morpheus-y-hellcat\/"},"modified":"2025-01-23T14:12:40","modified_gmt":"2025-01-23T14:12:40","slug":"los-expertos-encuentran-una-base-de-codigo-compartida-que-vincula-las-cargas-utiles-del-ransomware-morpheus-y-hellcat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-expertos-encuentran-una-base-de-codigo-compartida-que-vincula-las-cargas-utiles-del-ransomware-morpheus-y-hellcat\/","title":{"rendered":"Los expertos encuentran una base de c\u00f3digo compartida que vincula las cargas \u00fatiles del ransomware Morpheus y HellCat"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 de enero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia sobre amenazas\/violaci\u00f3n de datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un an\u00e1lisis de las operaciones de ransomware HellCat y Morpheus ha revelado que los afiliados asociados con las respectivas entidades de cibercrimen est\u00e1n utilizando c\u00f3digo id\u00e9ntico para sus cargas \u00fatiles de ransomware.<\/p>\n

Los hallazgos provienen de SentinelOne, que analiz\u00f3 los artefactos cargados en la plataforma de escaneo de malware VirusTotal por el mismo remitente hacia fines de diciembre de 2024.<\/p>\n

“Estas dos muestras de carga \u00fatil son id\u00e9nticas excepto por los datos espec\u00edficos de la v\u00edctima y los detalles de contacto del atacante”, dijo el investigador de seguridad Jim Walter. dicho<\/a> en un nuevo informe compartido con The Hacker News.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Ambos gato infernal<\/a> y Morfeo<\/a> son participantes incipientes en el ecosistema de ransomware, que surgieron en octubre y diciembre de 2024, respectivamente.<\/p>\n

Un examen m\u00e1s profundo de la carga \u00fatil de Morpheus\/HellCat, un ejecutable port\u00e1til de 64 bits, ha revelado que ambas muestras requieren que se especifique una ruta como argumento de entrada.<\/p>\n

Ambos est\u00e1n configurados para excluir la carpeta WindowsSystem32, as\u00ed como una lista codificada de extensiones del proceso de cifrado, a saber, .dll, .sys, .exe, .drv, .com y .cat, del proceso de cifrado.<\/p>\n

“Una caracter\u00edstica inusual de estas cargas \u00fatiles de Morpheus y HellCat es que no alteran la extensi\u00f3n de los archivos cifrados y espec\u00edficos”, dijo Walter. “El contenido del archivo se cifrar\u00e1, pero las extensiones de archivo y otros metadatos permanecer\u00e1n intactos despu\u00e9s de ser procesados \u200b\u200bpor el ransomware”.<\/p>\n

Adem\u00e1s, las muestras de Morpheus y HellCat se basan en la API criptogr\u00e1fica de Windows para la generaci\u00f3n de claves y el cifrado de archivos. La clave de cifrado se genera utilizando el BCripta<\/a> algoritmo.<\/p>\n

Salvo cifrar los archivos y publicar notas de rescate id\u00e9nticas, no se realizan otras modificaciones en los sistemas afectados, como cambiar el fondo de pantalla del escritorio o configurar mecanismos de persistencia.<\/p>\n

SentinelOne dijo que las notas de rescate de HellCat y Morpheus siguen el mismo modelo que Equipo subterr\u00e1neo<\/a>otro esquema de ransomware que surgi\u00f3 en 2023, aunque las cargas \u00fatiles del ransomware en s\u00ed son estructural y funcionalmente diferentes.<\/p>\n

\"Morfeo<\/a><\/div>\n

“Las operaciones HellCat y Morpheus RaaS parecen estar reclutando afiliados comunes”, dijo Walter. “Si bien no es posible evaluar el alcance total de la interacci\u00f3n entre los propietarios y operadores de estos servicios, parece que los afiliados vinculados a ambos grupos est\u00e1n aprovechando una base de c\u00f3digo compartida o posiblemente una aplicaci\u00f3n de creaci\u00f3n compartida”.<\/p>\n

Este avance se produce mientras el ransomware contin\u00faa prosperando, aunque de manera cada vez m\u00e1s fragmentada, a pesar de los continuos intentos de las agencias de aplicaci\u00f3n de la ley para abordar la amenaza.<\/p>\n

“El ecosistema de ransomware con motivaci\u00f3n financiera se caracteriza cada vez m\u00e1s por la descentralizaci\u00f3n de las operaciones, una tendencia impulsada por las interrupciones de grupos m\u00e1s grandes”, Trustwave dicho<\/a>. “Este cambio ha allanado el camino para actores m\u00e1s peque\u00f1os y \u00e1giles, dando forma a un panorama fragmentado pero resiliente”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Datos compartidos por el Grupo NCC muestra<\/a> que solo en diciembre de 2024 se observ\u00f3 un r\u00e9cord de 574 ataques de ransomware, de los cuales FunkSec represent\u00f3 103 incidentes. Algunos de los otros grupos de ransomware frecuentes fueron Cl0p (68), Akira (43) y RansomHub (41).<\/p>\n

“Diciembre suele ser una \u00e9poca mucho m\u00e1s tranquila para los ataques de ransomware, pero el mes pasado se registr\u00f3 el mayor n\u00famero de ataques de ransomware registrados, lo que cambi\u00f3 ese patr\u00f3n”, dijo Ian Usher, director asociado de Operaciones de inteligencia de amenazas e innovaci\u00f3n de servicios en NCC Group, dicho<\/a>.<\/p>\n

“El surgimiento de actores nuevos y agresivos, como FunkSec, que han estado a la vanguardia de estos ataques es alarmante y sugiere un panorama de amenazas m\u00e1s turbulento de cara a 2025”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n