Восход новых программ-вымогателей: анализ HellCat и Morpheus
Изображение: www.sentinelone.com
За последние шесть месяцев киберпространство столкнулось с заметным всплеском активности программ-вымогателей. В центре внимания оказались новые группы, такие как FunkSec, Nitrogen, Termite, Cl0p и новая версия LockBit (LockBit 4.0), которые быстро набирают популярность.
Изменения в ландшафте программ-вымогателей
Особое внимание привлекают программы-вымогатели HellCat и Morpheus. HellCat, руководство которой состоит из членов сообщества BreachForums, активно нацеливается на правительственные и другие ценные организации. В то время как Morpheus действует как полузакрытая RaaS и остается менее заметным, его жертвы в основном находятся в фармацевтическом и производственном секторах.
Недавние находки и их значение
Исследователи в конце декабря 2024 года обнаружили две похожие программы-вымогателя, загруженные на VirusTotal. Эти файлы, предположительно загруженные единым партнером, принимали участие в атаках Morpheus и HellCat, и представляют собой стандартные 64-разрядные PE-файлы размером около 18 КБ. Использование дополнительных файлов, таких как er.bat, демонстрирует сложный подход к осуществлению атак:
- Файл er.bat содержит команды, которые облегчают выполнение программы-вымогателя.
- Помогает в копировании файлов и запуске программы с заданными параметрами.
Аномалии в шифровании
Уникальным аспектом программ-вымогателей HellCat и Morpheus является их аномальное поведение при шифровании файлов: в отличие от большинства семейств программ-вымогателей, они не изменяют расширения зашифрованных файлов. Эти группы используют криптографический API Windows для генерации ключей и шифрования, при этом их методы напоминают ранние версии LockBit и ALPHV.
Сообщения о выкупе и возможные связи
Уведомления о требовании выкупа сохраняются в файлах с именем _README_.txt и запускаются через блокнот после завершения шифрования. Эти уведомления содержат инструкцию для жертв о том, как получить доступ к порталу злоумышленника .onion с предоставленными учетными данными. Была обнаружена также схожесть в шаблонах писем с требованием выкупа, используемыми группами HellCat, Morpheus и Underground Team, которая действовала с начала по середину 2023 года.
Выводы и рекомендации
Несмотря на общие элементы в требованиях о выкупе, структурные различия между программами не подтверждают наличие общей кодовой базы или сотрудничества между различными группами. Тем не менее, схожесть в поведении и полезной нагрузке HellCat и Morpheus может указывать на использование общих ресурсов.
Таким образом, система SentinelOne Singularity выделяется как важный инструмент для обнаружения и предотвращения вредоносного поведения, связанного с программами-вымогателями HellCat и Morpheus.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
