Главная страница » IOC
0
2 месяца
IOC

HellCat и Morpheus - Два бренда, одна полезная нагрузка: филиалы Ransomware выпускают идентичный код

ransomware

За последние шесть месяцев наблюдалась активность новых и появляющихся операций с вымогательским ПО. Группы, такие как FunkSec, Nitrogen, Termite, Cl0p и новая версия LockBit 4.0, проявили повышенную активность. Особенное внимание привлекли предложения Ransomware-as-a-Service (RaaS) - HellCat и Morpheus, которые пытаются утвердить себя как авторитетные бренды в криминальной сфере.

Описание

В ходе анализа полезных нагрузок от операций HellCat и Morpheus, было выяснено, что оба вида вымогательского ПО используют почти идентичный код. HellCat был запущен в середине 2024 года операторами сообщества BreachForums, в то время как Morpheus появился в декабре 2024 года как RaaS. Morpheus указала две жертвы из фармацевтической и производственной отраслей, в то время как HellCat сообщил об успешных взломах больших игроков и правительственных организаций.

Образцы обоих вымогательских ПО были загружены на VirusTotal одним пользователем без регистрации и имели одинаковый ID отправителя. Это подтверждает вероятность того, что образцы были загружены одним и тем же партнером, связанным с операциями Morpheus и HellCat.

Полезные нагрузки Morpheus и HellCat представляют собой 64-битные PE-файлы размером около 18 КБ. Они принимают путь и дополнительный аргумент "ww" для выполнения операции. Был также обнаружен файл er.bat, который позволяет выполнить вымогатель Morpheus на целевой системе.

Оба образца Morpheus и HellCat имеют жестко заданный список расширений файлов, которые они исключают из процесса шифрования, такие как .dll, .sys, .exe, .drv, .com, .cat, а также папку Windows\System32. После запуска полезная нагрузка обрабатывает файлы по указанному пути, при этом не изменяя их расширение или метаданные. Содержимое файлов зашифровано, но расширение остается прежним.

Эти результаты анализа говорят о том, что операции Morpheus и HellCat использовали похожий код и методы работы, что указывает на возможность их связи и взаимодействия между собой.

Indicators of Compromise

Domains

  • hellcat.locker

Onion Domains

  • hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onion
  • izsp6ipui4ctgxfugbgtu65kzefrucltyfpbxplmfybl5swiadpljmyd.onion

Emails

SHA1

  • b834d9dbe2aed69e0b1545890f0be6f89b2a53c7
  • f62d2038d00cb44c7cbd979355a9d060c10c9051
  • f86324f889d078c00c2d071d6035072a0abb1f73
Комментарии: 0
Похожие записи
0
8 дней
IOC

Группы Black Basta и Cactus Ransomware добавили в свой арсенал вредоносное ПО BackConnect

security
Команды Trend Micro Managed XDR и Incident Response (IR) провели анализ инцидентов, связанных с программами Black Basta и Cactus, где злоумышленники использовали вредоносную программу BackConnect для захвата контроля над зараженными системами.
0
19 дней
IOC

Ghost (Cring) Ransomware IOCs

ransomware
Общее совместное сообщение Федерального бюро расследований (ФБР), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Многоштатного центра обмена информацией и анализа (MS-ISAC) обнародовало
0
19 дней
IOC

Как быстрые фишинговые атаки используют слабые места

ransomware
Недавно компания ReliaQuest столкнулась с взломом в производственном секторе, связанным с фишингом и утечкой данных. Злоумышленники были очень быстры и смогли взломать систему всего за 48 минут.