MÜNCHEN (IT BOLTWISE) – Die jüngsten Entdeckungen im Bereich der Cyberkriminalität werfen ein neues Licht auf die Verbindungen zwischen verschiedenen Ransomware-Gruppen. Eine aktuelle Analyse zeigt, dass die Ransomware-Operationen von HellCat und Morpheus auf einem identischen Code basieren, was auf eine mögliche Zusammenarbeit oder gemeinsame Nutzung von Ressourcen hindeutet.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die Welt der Cyberkriminalität ist in ständiger Bewegung, und die neuesten Erkenntnisse über die Ransomware-Gruppen HellCat und Morpheus unterstreichen dies eindrucksvoll. Laut einer Analyse von SentinelOne, die Artefakte auf der VirusTotal-Plattform untersuchte, verwenden beide Gruppen identische Codes für ihre Ransomware-Payloads. Diese Entdeckung deutet darauf hin, dass es möglicherweise eine gemeinsame Basis oder ein gemeinsames Builder-Tool gibt, das von den Affiliates beider Gruppen genutzt wird.
HellCat und Morpheus sind relativ neue Akteure im Ransomware-Ökosystem, die im Oktober bzw. Dezember 2024 aufgetaucht sind. Die Untersuchung der Payloads, die als 64-Bit-Portable-Executable-Dateien vorliegen, zeigt, dass beide eine Pfadangabe als Eingabeargument benötigen und bestimmte Ordner und Dateierweiterungen von der Verschlüsselung ausschließen. Interessanterweise ändern sie nicht die Dateierweiterungen der verschlüsselten Dateien, was eine ungewöhnliche Eigenschaft darstellt.
Beide Ransomware-Varianten nutzen die Windows Cryptographic API zur Schlüsselgenerierung und Dateiverschlüsselung, wobei der BCrypt-Algorithmus zum Einsatz kommt. Abgesehen von der Verschlüsselung der Dateien und dem Hinterlassen identischer Erpresserbriefe werden keine weiteren Systemänderungen vorgenommen. Dies unterscheidet sie von anderen Ransomware-Gruppen, die oft auch das Hintergrundbild ändern oder Persistenzmechanismen einrichten.
Die Erpresserbriefe von HellCat und Morpheus folgen dem gleichen Template wie die der Underground Team, einer weiteren Ransomware-Gruppe, die 2023 aktiv wurde. Dies könnte darauf hindeuten, dass die Gruppen ähnliche Affiliates rekrutieren oder dass es eine Art von Austausch oder Zusammenarbeit zwischen den Gruppen gibt.
Die Ransomware-Landschaft ist zunehmend fragmentiert, was es kleineren, agileren Akteuren ermöglicht, sich zu etablieren. Diese Entwicklung wird durch die Zerschlagung größerer Gruppen begünstigt, was zu einer dezentralisierten Struktur führt. Laut Trustwave ist dies ein Trend, der sich fortsetzen dürfte, da die finanzielle Motivation hinter Ransomware-Angriffen ungebrochen ist.
Im Dezember 2024 wurden laut Daten der NCC Group 574 Ransomware-Angriffe registriert, ein Rekordwert für diesen Monat. Besonders auffällig ist der Anstieg neuer und aggressiver Akteure wie FunkSec, die für 103 dieser Vorfälle verantwortlich sind. Dies deutet auf eine zunehmend turbulente Bedrohungslandschaft hin, die auch im Jahr 2025 anhalten dürfte.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Gemeinsamer Code von Morpheus und HellCat Ransomware entdeckt".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Gemeinsamer Code von Morpheus und HellCat Ransomware entdeckt" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Gemeinsamer Code von Morpheus und HellCat Ransomware entdeckt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.