Gemeinsame Codebasis zwischen Morpheus- und HellCat-Ransomware
Bei Analysen wurde entdeckt, dass die Ransomware-Familien Morpheus und HellCat eine gemeinsame Codebasis nutzen. Das deutet darauf hin, dass die beiden Schadsoftwarevarianten entweder von denselben Entwicklern stammen oder von einem ähnlichen Baukasten für Schadsoftware erstellt wurden.
Die Analyse von SentinelOne zeigt, dass die Ransomware-Familien Morpheus und HellCat viele Gemeinsamkeiten aufweisen. Die Untersuchung basiert auf Artefakten, die Ende Dezember 2024 von demselben Absender auf die Malware-Scan-Plattform VirusTotal hochgeladen wurden.
„Die beiden Payloads sind fast identisch, abgesehen von opferspezifischen Daten und den Kontaktinformationen der Angreifer“, erklärt der Sicherheitsexperte Jim Walter in einem Bericht.
Morpheus und HellCat sind relativ neue Ransomware-Varianten: Morpheus wurde im Dezember 2024 entdeckt, HellCat bereits im Oktober desselben Jahres. Eine detaillierte Untersuchung der Payloads, die als 64-Bit-Programme vorliegen, ergab, dass beide einen Pfad als Eingabeargument benötigen, um zu funktionieren.
Interessanterweise sind sie so programmiert, dass bestimmte Ordner und Dateitypen von der Verschlüsselung ausgenommen werden. Dazu gehören der Windows-Systemordner \Windows\System32 sowie Dateien mit den Endungen .dll, .sys, .exe, .drv, .com und .cat.
Unüblich für Ransomware
Ein ungewöhnliches Merkmal von Morpheus und HellCat ist, dass sie die Dateiendungen verschlüsselter Dateien nicht verändern. Zwar wird der Inhalt der Dateien verschlüsselt, aber Dateiendungen und Metadaten bleiben erhalten, was für Ransomware ungewöhnlich ist.
Beide Varianten nutzen die Windows-Kryptografie-API zur Generierung von Verschlüsselungsschlüsseln und zur Verschlüsselung der Dateien. Der Schlüssel wird dabei mithilfe des BCrypt-Algorithmus erzeugt.
Neben der Verschlüsselung der Dateien und dem Ablegen nahezu identischer Lösegeldforderungen nehmen Morpheus ebenso wie HellCat keine weiteren Änderungen am System vor. Sie verändern weder den Desktop-Hintergrund noch richten sie Mechanismen ein, um dauerhaft auf dem betroffenen System präsent zu bleiben.
Laut SentinelOne verwenden die Lösegeldforderungen von HellCat und Morpheus ein ähnliches Format wie die des sogenannten Underground Team, einer Ransomware-Gruppe, die 2023 aktiv wurde. Die tatsächlichen Ransomware-Programme von HellCat und Morpheus unterscheiden sich jedoch sowohl in ihrer Struktur als auch in ihrer Funktionalität deutlich.
„Die RaaS-Modelle (Ransomware-as-a-Service) von HellCat und Morpheus scheinen dieselben Partner oder Unterstützer anzuziehen“, so Jim Walter. „Auch wenn der genaue Grad der Zusammenarbeit zwischen den Betreibern dieser Gruppen unklar bleibt, deutet vieles darauf hin, dass beide eine gemeinsame Codebasis oder möglicherweise ein identisches Builder-Tool verwenden, das von ihren Partnern eingesetzt wird.“
Keine Entlastung bei Ransomware in Sicht
Ransomware bleibt ein großes Problem, obwohl Strafverfolgungsbehörden weltweit versuchen, dagegen vorzugehen. Allerdings entwickelt sich die Bedrohung immer stärker in eine fragmentierte Richtung.
„Das Ransomware-Ökosystem, das auf finanzielle Gewinne ausgerichtet ist, ist zunehmend durch die Dezentralisierung der Betreiber geprägt“, erklärt Trustwave. „Dieser Trend wird durch die Zerschlagung größerer Gruppen vorangetrieben und hat kleineren, flexibleren Akteuren neue Möglichkeiten eröffnet. So entsteht eine fragmentierte, aber dennoch widerstandsfähige Landschaft.“
Laut NCC Group wurden allein im Dezember 2024 574 Ransomware-Angriffe dokumentiert – ein Rekordwert. Die Gruppe FunkSec war mit 103 Angriffen die aktivste, gefolgt von Cl0p (68 Angriffe), Akira (43 Angriffe) und RansomHub (41 Angriffe).
„Normalerweise ist der Dezember eine ruhigere Zeit für Ransomware-Angriffe. Doch der vergangene Monat brach mit 574 Angriffen alle Rekorde und stellte die bisherigen Trends völlig auf den Kopf“, so Ian Usher, Associate Director für Threat Intelligence Operations bei der NCC Group.
„Der Aufstieg neuer und aggressiver Akteure wie FunkSec, die bei diesen Angriffen eine führende Rolle spielen, ist besorgniserregend. Es deutet darauf hin, dass wir 2025 mit einer noch unberechenbareren und gefährlicheren Bedrohungslage rechnen müssen.“