(https://i.postimg.cc/t4pHKgxc/Black-Cat.png) (https://postimages.org/)
Un análisis de las operaciones de ransomware HellCat y Morpheus ha revelado que los afiliados asociados con las respectivas entidades de ciberdelincuencia están utilizando un código idéntico para sus cargas útiles de ransomware.
Los hallazgos provienen de SentinelOne, que analizó los artefactos cargados en la plataforma de escaneo de malware VirusTotal por el mismo remitente hacia fines de diciembre de 2024.
"Estas dos muestras de carga útil son idénticas excepto por los datos específicos de la víctima y los detalles de contacto del atacante", dijo el investigador de seguridad Jim Walter en un nuevo informe compartido.
Tanto HellCat como Morpheus son nuevos participantes en el ecosistema del ransomware, ya que surgieron en octubre y diciembre de 2024, respectivamente.
Un análisis más profundo de la carga útil Morpheus/HellCat, un ejecutable portátil de 64 bits, ha revelado que ambas muestras requieren que se especifique una ruta como argumento de entrada.
Ambas están configuradas para excluir la carpeta \Windows\System32, así como una lista de extensiones codificadas de forma rígida del proceso de cifrado, a saber, .dll, .sys, .exe, .drv, .com y .cat.
"Una característica inusual de estas cargas útiles Morpheus y HellCat es que no alteran la extensión de los archivos cifrados y de destino", dijo Walter. "El contenido del archivo se cifrará, pero las extensiones de archivo y otros metadatos permanecerán intactos después del procesamiento por parte del ransomware".
Además, las muestras de Morpheus y HellCat dependen de la API criptográfica de Windows para la generación de claves y el cifrado de archivos. La clave de cifrado se genera mediante el algoritmo BCrypt.
A excepción de cifrar los archivos y dejar notas de rescate idénticas, no se realizan otras modificaciones en los sistemas afectados, como cambiar el fondo de pantalla del escritorio o configurar mecanismos de persistencia.
SentielOne dijo que las notas de rescate de HellCat y Morpheus siguen el mismo modelo que Underground Team, otro esquema de ransomware que surgió en 2023, aunque las cargas útiles del ransomware en sí son estructural y funcionalmente diferentes.
"Las operaciones de HellCat y Morpheus RaaS parecen estar reclutando afiliados comunes", dijo Walter. "Si bien no es posible evaluar el alcance total de la interacción entre los propietarios y operadores de estos servicios, parece que los afiliados vinculados a ambos grupos están aprovechando una base de código compartida o posiblemente una aplicación de creación compartida".
El desarrollo se produce mientras el ransomware continúa prosperando, aunque de una manera cada vez más fragmentada, a pesar de los intentos constantes de las agencias policiales de abordar la amenaza.
"El ecosistema del ransomware con motivaciones económicas se caracteriza cada vez más por la descentralización de las operaciones, una tendencia impulsada por las interrupciones de grupos más grandes", dijo Trustwave. "Este cambio ha allanado el camino para actores más pequeños y ágiles, dando forma a un panorama fragmentado pero resistente".
Los datos compartidos por NCC Group muestran que solo en diciembre de 2024 se observó un récord de 574 ataques de ransomware, de los cuales FunkSec fue responsable de 103 incidentes. Otros grupos de ransomware predominantes fueron Cl0p (68), Akira (43) y RansomHub (41).
"Diciembre suele ser un mes mucho más tranquilo para los ataques de ransomware, pero el mes pasado se registró el mayor número de ataques de ransomware registrado, lo que cambió ese patrón", dijo Ian Usher, director asociado de Operaciones de Inteligencia de Amenazas e Innovación de Servicios en NCC Group.
"El surgimiento de actores nuevos y agresivos, como FunkSec, que han estado a la vanguardia de estos ataques es alarmante y sugiere un panorama de amenazas más turbulento de cara a 2025".
Fuente:
The Hacker News
https://thehackernews.com/2025/01/experts-find-shared-codebase-linking.html