Hellcat ve Morpheus fidye yazılımı operasyonlarının bir analizi, ilgili siber suç varlıkları ile ilişkili bağlı kuruluşların fidye yazılımı yükleri için aynı kod kullandıklarını ortaya koymuştur.
Bulgular, Aralık 2024’ün sonuna doğru aynı gönderen tarafından Virustotal kötü amaçlı yazılım tarama platformuna yüklenen eserleri analiz eden SentinelOne’dan geliyor.
Güvenlik araştırmacısı Jim Walter, “Bu iki yük örneği, mağdura özgü veriler ve saldırgan iletişim bilgileri dışında aynıdır.” söz konusu Hacker News ile paylaşılan yeni bir raporda.
İkisi birden Hellcat Ve Morpheus Ekim ve Aralık 2024’te ortaya çıkan fidye yazılımı ekosistemine yeni gelen katılımcılardır.
64 bit taşınabilir bir yürütülebilir Morpheus/Hellcat yükünün daha derin bir incelemesi, her iki örneğin de bir giriş argümanı olarak belirtilmesi için bir yol gerektirdiğini ortaya koymuştur.
Her ikisi de Windows System32 klasörünü ve şifreleme işleminden sabit kodlanmış bir uzantılar listesini hariç tutacak şekilde yapılandırılmıştır, yani .dll, .sys, .exe, .drv, .com ve .cat,. şifreleme işlemi.
Walter, “Bu Morpheus ve Hellcat yüklerinin alışılmadık bir özelliği, hedeflenen ve şifreli dosyaların uzatılmasını değiştirmemeleridir.” Dedi. “Dosya içeriği şifrelenecek, ancak dosya uzantıları ve diğer meta veriler fidye yazılımı tarafından işlendikten sonra sağlam kalıyor.”
Ayrıca, Morpheus ve Hellcat örnekleri, anahtar oluşturma ve dosya şifrelemesi için Windows Cryptografik API’sına güvenir. Şifreleme anahtarı, Bcrypt algoritma.
Dosyaları şifrelemeyi ve aynı fidye notlarını düşürerek, etkilenen sistemlerde masaüstü duvar kağıdını değiştirmek veya kalıcılık mekanizmalarını ayarlamak gibi başka bir sistem modifikasyonu yapılmaz.
Sentinelone, Hellcat ve Morpheus için fidye notlarının aynı şablonu takip ettiğini söyledi. Yeraltı takımıfidye yazılımı yüklerinin kendileri yapısal ve işlevsel olarak farklı olmasına rağmen, 2023’te ortaya çıkan başka bir fidye yazılımı şeması.
Walter, “Hellcat ve Morpheus Raas operasyonları ortak bağlı kuruluşları işe alıyor gibi görünüyor.” Dedi. “Bu hizmetlerin sahipleri ve operatörleri arasındaki etkileşimin tamamını değerlendirmek mümkün olmasa da, paylaşılan bir kod tabanı veya muhtemelen paylaşılan bir inşaatçı uygulamasının her iki gruba bağlı bağlı kuruluşlar tarafından kaldırıldığı görülmektedir.”
Gelişme, fidye yazılımlarının, kolluk kuvvetlerinin tehdidi ele alma girişimlerine rağmen, giderek daha parçalanmış bir şekilde gelişmeye devam ettiği için ortaya çıkıyor.
“Finansal olarak motive olmuş fidye yazılımı ekosistemi, operasyonların ademi merkeziyeti, daha büyük grupların aksamalarından kaynaklanan bir eğilim ile giderek daha fazla karakterize ediliyor,” söz konusu. “Bu değişim, parçalanmış ama esnek bir manzarayı şekillendiren daha küçük, daha çevik aktörlerin yolunu açtı.”
NCC Grubu tarafından paylaşılan veriler şov sadece Aralık 2024’te rekor 574 fidye yazılımı saldırısı gözlemlendi ve Funksec 103 olayı oluşturdu. Diğer yaygın fidye yazılımı gruplarından bazıları CL0P (68), Akira (43) ve Ransomhub (41) idi.
NCC Group’taki Tehdit İstihbarat Operasyonları ve Hizmet İnovasyonu Yardımcı Direktörü Ian Usher, “Aralık ayı genellikle fidye yazılımı saldırıları için çok daha sessiz bir zaman, ancak geçen ay en fazla fidye yazılımı saldırısını gördü, bu modeli kafasına çevirdi.” söz konusu.
“Bu saldırıların ön saflarında bulunan Funksec gibi yeni ve agresif aktörlerin yükselişi endişe verici ve 2025’e daha çalkantılı bir tehdit manzarası öneriyor.”
