Исследования показывают тревожную связь между двумя новыми игроками в мире кибервымогательства – HellCat и Morpheus. Анализ, проведенный компанией SentinelOne, обнаружил, что эти две группы, появившиеся в октябре и декабре 2024 года соответственно, используют идентичный код в своих вредоносных программах. Единственные различия между их «продуктами» заключаются в специфических данных жертвы и контактных данных злоумышленников. Эти выводы основаны на артефактах, загруженных в VirusTotal одним и тем же пользователем в конце декабря 2024 года. Джим Уолтер, исследователь безопасности из SentinelOne, поделился результатами отчета с The Hacker News.
Оба варианта вредоносного ПО представляют собой 64-битные исполняемые файлы, требующие указания пути в качестве входного аргумента. Примечательно, что они оба настроены на исключение папки \Windows\System32 из процесса шифрования, а также имеют идентичные списки исключений файловых расширений, включающие.dll,.sys,.exe,.drv,.com . Зашифрованные файлы не меняют свои расширения. Для генерации ключей и шифрования файлов применяется Windows Cryptographic API и алгоритм BCrypt. Помимо шифрования данных и оставления идентичных записок с требованием выкупа, не было зафиксировано никаких иных модификаций системы, таких как изменение обоев или механизмов сохранения доступа.
Вероятно, общая кодовая база указывает на использование единого «конструктора» вредоносных программ, доступного для аффилированных лиц обеих групп. Подобный подход свидетельствует о все более децентрализованной модели киберпреступности, где на передний план выходят небольшие и гибкие группы. Эти выводы подтверждаются компанией Trustwave, которая отмечает, что децентрализация вызвана сбоями в работе крупных кибергруппировок.
Примечательно, что декабрь 2024 года стал рекордным по количеству атак с применением программ-вымогателей: было зафиксировано 574 случая. Лидерами среди киберпреступников стали FunkSec (103 атаки), Cl0p (68 атак), Akira (43 атаки) и RansomHub (41 атака). Эта статистика, предоставленная NCC Group, под руководством Яна Ашера (заместитель директора по операциям разведывательных данных и инновационным сервисам), подчеркивает нетипичную активность в декабре, который обычно считается спокойным месяцем. Увеличение активности новых и агрессивных групп, таких как FunkSec, предполагает турбулентную обстановку в кибербезопасности в 2025 году.
Таким образом, одновременное появление и общая кодовая база HellCat и Morpheus является тревожным звонком. Использование общих аффилированных лиц и, возможно, единого «конструктора» вымогательских программ демонстрирует растущую изощренность киберпреступников. В 2025 году нас ожидает увеличение количества кибератак и появление новых угроз, и поэтому необходимо сохранять бдительность и постоянно повышать уровень кибербезопасности.
Изображение носит иллюстративный характер
Оба варианта вредоносного ПО представляют собой 64-битные исполняемые файлы, требующие указания пути в качестве входного аргумента. Примечательно, что они оба настроены на исключение папки \Windows\System32 из процесса шифрования, а также имеют идентичные списки исключений файловых расширений, включающие.dll,.sys,.exe,.drv,.com . Зашифрованные файлы не меняют свои расширения. Для генерации ключей и шифрования файлов применяется Windows Cryptographic API и алгоритм BCrypt. Помимо шифрования данных и оставления идентичных записок с требованием выкупа, не было зафиксировано никаких иных модификаций системы, таких как изменение обоев или механизмов сохранения доступа.
Вероятно, общая кодовая база указывает на использование единого «конструктора» вредоносных программ, доступного для аффилированных лиц обеих групп. Подобный подход свидетельствует о все более децентрализованной модели киберпреступности, где на передний план выходят небольшие и гибкие группы. Эти выводы подтверждаются компанией Trustwave, которая отмечает, что децентрализация вызвана сбоями в работе крупных кибергруппировок.
Примечательно, что декабрь 2024 года стал рекордным по количеству атак с применением программ-вымогателей: было зафиксировано 574 случая. Лидерами среди киберпреступников стали FunkSec (103 атаки), Cl0p (68 атак), Akira (43 атаки) и RansomHub (41 атака). Эта статистика, предоставленная NCC Group, под руководством Яна Ашера (заместитель директора по операциям разведывательных данных и инновационным сервисам), подчеркивает нетипичную активность в декабре, который обычно считается спокойным месяцем. Увеличение активности новых и агрессивных групп, таких как FunkSec, предполагает турбулентную обстановку в кибербезопасности в 2025 году.
Таким образом, одновременное появление и общая кодовая база HellCat и Morpheus является тревожным звонком. Использование общих аффилированных лиц и, возможно, единого «конструктора» вымогательских программ демонстрирует растущую изощренность киберпреступников. В 2025 году нас ожидает увеличение количества кибератак и появление новых угроз, и поэтому необходимо сохранять бдительность и постоянно повышать уровень кибербезопасности.
