Es cierto que hoy en día, los ransomware son uno de los ataques mas temidos por las organizaciones. Se hacen cursos de concientización a cada uno de los empleados para que este tipo de ataque no se haga de la información de la empresa y esta pueda funcionar con tranquilidad.
Como todos sabemos, los ransomware son piezas de código malicioso los cuales cifran la información, realizando un "secuestro" de esta. Los atacantes, a las personas o empresas les piden dinero a modo de extorsión para así poder recuperar sus datos que actualmente están cifrados.
A todas las personas que le ocurran este tipo de cosas, se le recomienda NUNCA y bajo ningún motivo pagar el rescate de la información, porque nunca hay garantías que el atacante entregue la llave de recuperación, por lo tanto, siempre haga respaldos periódicos de la información.
RAAS
Como no cualquiera puede desarrollar su propio ransomware y pedir dinero por la información cifrada, es que nace la oferta de servicios como HellCat y Morpheus, los cuales funcionan como Ransomware as a Service. Los controladores de estos ransomware se han preocupado en ofrecer un servicio de calidad y eficiencia, para ganar buena reputación dentro de los servicios del cibercrimen.
La empresa Sentinel realizo un análisis de ambos ransomware detectando similitud en ambos malwares. Acá se deja un esbozo de lo que ellos analizaron:
Descripción HellCat
Hellcat nació a mediados del 2024 operados por la comunidad de BreachForums. HellCat se ha apoyado en gran medida en el lado público de su personalidad con nuevas demandas de rescate y cobertura directa de los medios de comunicación para impulsar su posición dentro del panorama del ransomware. Según sus propias admisiones, los operadores de HellCat se centran en objetivos de "caza mayor" de alto valor y en entidades gubernamentales.
Descripción Morpheus.
Este ya se hizo semi privado a finales del 2024, y no tiene esta necesidad de los controladores de hacerse famoso dentro del mundo del Raas. Morfeo ha enumerado dos víctimas en las industrias farmacéutica y manufacturera. El afiliado que se analiza a continuación se dirige actualmente a organizaciones italianas con un enfoque en entornos ESXi virtuales. Se sabe que las demandas de rescate de los afiliados de Morpheus alcanzan hasta 32BTC (~ $ 3 millones de dólares ).
Datos en común
Ambos fueron subidos a VirusTotal en diciembre del 2024, y en el momento de la descompilación de los aplicativos detectaron que había un gran porcentaje de similitud entre ambos.
Tanto HellCat como Morpheus tienen un tamaño similar y comportamiento similares ambos excluyen del proceso de cifrado a las carpetas de Windows/System32 como extensiones binarias como, "EXE, DLL, SYS, DRV entre otros.
La gran mayoría de los ransomware posterior al cifrado dejan una copia del archivo con una extensión diferente, lo cual este no es el caso ya que dejan la extensión tal cual esta.
Posterior dejan como siempre una nota de rescate.
Conclusión.
Las cargas útiles de HellCat y Morpheus son casi idénticas y ambas son atípicas a otras familias de ransomware al dejar las extensiones de archivo originales en su lugar después del cifrado. Si bien no es posible evaluar el alcance total de la interacción entre los propietarios y operadores de estos servicios de ransomware, parece que los afiliados vinculados a ambos grupos están aprovechando una base de código compartida o posiblemente una aplicación de creación compartida.
A medida que estas operaciones continúan poniendo en peligro a las empresas y organizaciones, comprender cómo se obtiene y comparte el código común entre estos grupos puede ayudar a informar los esfuerzos de detección y mejorar la inteligencia de amenazas sobre cómo operan estos grupos.
Hellcat y Morpheus: La alianza oculta del ransomware que comparte el mismo ADN.){kind=link}