שניים באחד: חוקרים מצאו האקרים שונים המתקיפים באותה כופרה
מומחי סנטינל וואן ערכו מחקר ובו מצאו בסיס קוד משותף, המקשר בין מטעני הכופרות של Morpheus ו-HellCat

מחקר חדש שתוצאותיו פורסמו באחרונה העלה כי קבוצות איומים בסייבר שונות, עושות שימוש בקוד זהה עבור מתקפות הכופרות HellCat ו-Morpheus, הפועלות במתכונת של שירותי כופרה כשירות (RaaS).
חוקרי סנטינל וואן (SentinelOne) הם שחשפו זאת, לאחר שניתחו את הממצאים שהועלו לפלטפורמת סריקת הנוזקות VirusTotal בסוף דצמבר 2024.
"שתי דגימות המטען זהות, למעט נתונים ספציפיים לקורבן ופרטי הקשר של התוקף", אמר ג'ים וולטר, חוקר איומים בכיר בסנטינל וואן.
HellCat ו-Morpheus הן כופרות חדשות, שזוהו באוקטובר ובדצמבר 2024, בהתאמה. בחינה מעמיקה יותר של המטען הזדוני שהיה בשתיהן, העלתה כי מדובר בקובץ הפעלה נייד, של 64 ביט. "מאפיין יוצא דופן של מטעני הכופרות הוא שהם אינם עורכים שינויים בקבצים הממוקדים והמוצפנים. כך, תוכן הקובץ יוצפן, אך סיומות הקבצים ומטא-נתונים אחרים יישארו שלמים", ציין וולטר.
חוקרי סנטינל וואן ציינו כי שטרות הכופר עבור HellCat ו-Morpheus זהים לאלה ששימשו את Underground Team, כופרה שהופעלה נגד קורבנות ב-2023, אף שיש הבדלים במטעני הכופר עצמם.
"נראה כי HellCat ו-Morpheus RaaS מגייסים שלוחות משותפות", אמר וולטר. "בעוד שלא ניתן להעריך את מלוא היקף האינטראקציה בין הבעלים והמפעילים של שירותים אלה, נראה כי בבסיס קוד משותף או אולי ביישום משותף – נעשה שימוש ממונף, על ידי שותפים הקשורים לשתי הקבוצות".
חוקר אחר ציין כי "פעילות מפעילי הכופרות כיום, שהמניע שלהם הוא פיננסי, מאופיינת יותר ויותר בביזור הפעילות, מגמה שמונעת על ידי שיבושים של קבוצות גדולות יותר. השינוי הזה סלל את הדרך לשחקנים קטנים וזריזים יותר, להצטרף לנוף האיומים".
פעילות גבוהה במיוחד בתחום הכופרות
חוקרי סנטינל וואן ציינו כי "במחצית השנה האחרונה נרשמה פעילות גבוהה במיוחד בתחום הכופרות, עם עלייתם של קבוצות חדשות, כמו FunkSec, Nitrogen ו-Termite, לצד חזרתם של Cl0p וגרסה חדשה של LockBit".
לפי המחקר של סנטינל וואן, כופרת HellCat הופיעה בראשונה באמצע 2024, ומפעיליה הם חברים בכירים בקהילת BreachForums ובשלוחות אחרות שלה. בין הדמויות הבולטות בקבוצה נמנים Rey, Pryx, Grep ו-IntelBroker, שהיו מעורבים בפריצות למטרות בעלות ערך גבוה.
HellCat פועלת בגלוי יחסית, תוך שימוש בדרישות דמי כופר חדשניות וחשיפה תקשורתית, כדי לבסס את מעמדה בתחום. מפעילי HellCat מצהירים שהם מתמקדים בתקיפות נגד גופים ממשלתיים וארגונים גדולים.
"ספקי" שירות Morpheus RaaS השיקו אתר להדלפות נתונים בדצמבר 2024, אם כי פעילות הקבוצה מתועדת לפחות מאז ספטמבר. נכון לעכשיו, הקבוצה פרסמה מידע על שני קורבנות מתחום התרופות והתעשייה.
בשונה מ-Morpheus, הכופרה HellCat פועלת כ-RaaS חצי-פרטי, עם נוכחות ציבורית פחות בולטת.
אחת השותפויות שנחקרו התמקדה בתקיפת ארגונים איטלקיים, במיוחד סביבות וירטואליות מסוג ESXi. דרישות הכופר מצד מפעילי Morpheus הגיעו עד 32 ביטקוין, סכום השווה בערך ל-3 מיליון דולר.
"ככל שהתקיפות ממשיכות לפגוע בעסקים וארגונים, הבנת מקורות הקוד המשותפים ואופן הפצתו בין הקבוצות – יכולה לשפר יכולות לזיהוי איומים ומודיעין סייבר בנוגע לפעילותן", סיכמו החוקרים.
תגובות
(0)