
Analisis operasi ransomware HellCat dan Morpheus mengungkapkan bahwa afiliasi yang terkait dengan masing-masing entitas kejahatan dunia maya menggunakan kode yang sama untuk muatan ransomware mereka.
Temuan ini berasal dari SentinelOne, yang menganalisis artefak yang diunggah ke platform pemindaian malware VirusTotal oleh pengirim yang sama menjelang akhir Desember 2024.
“Kedua sampel muatan ini identik kecuali data spesifik korban dan rincian kontak penyerang,” kata peneliti keamanan Jim Walter dalam laporan baru yang dibagikan kepada The Hacker News.

Baik HellCat maupun Morpheus merupakan pendatang baru dalam ekosistem ransomware, yang masing-masing muncul pada bulan Oktober dan Desember 2024.
Pemeriksaan lebih dalam terhadap muatan Morpheus/HellCat, sebuah executable portabel 64-bit, telah mengungkapkan bahwa kedua sampel memerlukan jalur untuk ditentukan sebagai argumen masukan.
Keduanya dikonfigurasi untuk mengecualikan folder \Windows\System32, serta daftar ekstensi hard-code dari proses enkripsi, yaitu .dll, .sys, .exe, .drv, .com, dan .cat, dari proses enkripsi.
“Karakteristik yang tidak biasa dari muatan Morpheus dan HellCat ini adalah bahwa mereka tidak mengubah ekstensi file yang ditargetkan dan dienkripsi,” kata Walter. “Isi file akan dienkripsi, namun ekstensi file dan metadata lainnya tetap utuh setelah diproses oleh ransomware.”
Selain itu, sampel Morpheus dan HellCat mengandalkan API Kriptografi Windows untuk pembuatan kunci dan enkripsi file. Kunci enkripsi dihasilkan menggunakan algoritma BCrypt.
Kecuali mengenkripsi file dan menjatuhkan catatan tebusan yang sama, tidak ada modifikasi sistem lain yang dilakukan pada sistem yang terpengaruh, seperti mengubah wallpaper desktop atau menyiapkan mekanisme persistensi.
SentinelOne mengatakan catatan tebusan untuk HellCat dan Morpheus mengikuti pola yang sama dengan Underground Team, skema ransomware lain yang muncul pada tahun 2023, meskipun muatan ransomware itu sendiri berbeda secara struktural dan fungsional.

“Operasi HellCat dan Morpheus RaaS tampaknya merekrut afiliasi umum,” kata Walter. “Meskipun tidak mungkin untuk menilai keseluruhan interaksi antara pemilik dan operator layanan ini, tampaknya basis kode bersama atau mungkin aplikasi pembuat bersama dimanfaatkan oleh afiliasi yang terikat pada kedua kelompok.”
Perkembangan ini terjadi ketika ransomware terus berkembang pesat, meskipun dengan cara yang semakin terfragmentasi, meskipun lembaga penegak hukum terus berupaya untuk mengatasi ancaman tersebut.
“Ekosistem ransomware yang bermotif finansial semakin ditandai dengan desentralisasi operasi, sebuah tren yang dipicu oleh gangguan yang dilakukan oleh kelompok yang lebih besar,” kata Trustwave. “Pergeseran ini telah membuka jalan bagi aktor-aktor yang lebih kecil dan lebih tangkas, sehingga membentuk lanskap yang terfragmentasi namun tangguh.”

Data yang dibagikan oleh NCC Group menunjukkan bahwa rekor 574 serangan ransomware diamati pada bulan Desember 2024 saja, dengan FunkSec menyumbang 103 insiden. Beberapa kelompok ransomware umum lainnya adalah Cl0p (68), Akira (43), dan RansomHub (41).
“Desember biasanya merupakan waktu yang lebih tenang untuk serangan ransomware, namun bulan lalu mencatat jumlah serangan ransomware tertinggi yang pernah tercatat, sehingga mengubah pola tersebut,” Ian Usher, direktur asosiasi Operasi Intelijen Ancaman dan Inovasi Layanan di NCC Group, mengatakan .
“Munculnya aktor-aktor baru dan agresif, seperti FunkSec, yang berada di garis depan dalam serangan-serangan ini sangat mengkhawatirkan dan menunjukkan lanskap ancaman yang lebih bergejolak menjelang tahun 2025.”