Uma análise das operações de ransomware HellCat e Morpheus revelou que afiliados associados a essas entidades de cibercrime estão utilizando código idêntico para seus payloads de ransomware.
As descobertas são da SentinelOne, que analisou artefatos carregados na plataforma de escaneamento de malware VirusTotal pelo mesmo remetente no final de dezembro de 2024.
"Essas duas amostras de payload são idênticas, exceto pelos dados específicos da vítima e os detalhes de contato do atacante", disse o pesquisador de segurança Jim Walter em um novo relatório compartilhado.
Tanto HellCat quanto Morpheus são novatos no ecossistema de ransomware, tendo surgido em outubro e dezembro de 2024, respectivamente.
Um exame mais aprofundado do payload Morpheus/HellCat, um executável portátil de 64 bits, revelou que ambas as amostras exigem que um caminho seja especificado como um argumento de entrada.
Ambos estão configurados para excluir a pasta \Windows\System32, bem como uma lista predefinida de extensões do processo de criptografia, nomeadamente .dll, .sys, .exe, .drv, .com e .cat.
"Uma característica inusitada desses payloads Morpheus e HellCat é que eles não alteram a extensão dos arquivos alvo e criptografados", disse Walter.
O conteúdo do arquivo será criptografado, mas as extensões de arquivo e outros metadados permanecem intactos após o processamento pelo ransomware. Além disso, as amostras de Morpheus e HellCat dependem da API Criptográfica do Windows para geração de chaves e criptografia de arquivos.
A chave de criptografia é gerada usando o algoritmo BCrypt.
Exceto pela criptografia dos arquivos e pela inserção de notas de resgate idênticas, nenhuma outra modificação do sistema é feita nos sistemas afetados, como alterar o papel de parede da área de trabalho ou configurar mecanismos de persistência.
A SentinelOne disse que as notas de resgate para HellCat e Morpheus seguem o mesmo template que o Underground Team, outro esquema de ransomware que surgiu em 2023, embora os payloads de ransomware em si sejam estrutural e funcionalmente diferentes.
"As operações RaaS de HellCat e Morpheus parecem estar recrutando afiliados comuns", disse Walter.
Embora não seja possível avaliar a extensão total da interação entre os proprietários e operadores desses serviços, parece que uma base de código compartilhada ou possivelmente um aplicativo construtor compartilhado está sendo aproveitado por afiliados ligados a ambos os grupos.
O desenvolvimento ocorre enquanto o ransomware continua a prosperar, embora de maneira cada vez mais fragmentada, apesar das tentativas contínuas das agências de aplicação da lei de combater a ameaça.
"O ecossistema de ransomware motivado financeiramente é cada vez mais caracterizado pela descentralização das operações, uma tendência estimulada pelas disrupções de grupos maiores", disse a Trustwave.
Essa mudança pavimentou o caminho para atores menores e mais ágeis, moldando uma paisagem fragmentada, mas resiliente.
Dados compartilhados pelo NCC Group mostram que um recorde de 574 ataques de ransomware foram observados apenas em dezembro de 2024, com o FunkSec contabilizando 103 incidentes.
Alguns dos outros grupos de ransomware prevalentes foram Cl0p (68), Akira (43) e RansomHub (41).
"Dezembro geralmente é um período muito mais tranquilo para ataques de ransomware, mas o último mês viu o maior número de ataques de ransomware já registrado, quebrando esse padrão", disse Ian Usher, diretor associado de Operações de Inteligência de Ameaças e Inovação de Serviços no NCC Group.
A ascensão de novos e agressivos atores, como o FunkSec, que estiveram na vanguarda desses ataques é alarmante e sugere uma paisagem de ameaças mais turbulenta rumo a 2025.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...