کمیته رکن چهارم – بررسی بدافزارهای Morpheus و HellCat نشان داده است که این دو باجافزار از یک پایگاه کد مشترک استفاده میکنند. این یافتهها که توسط شرکت امنیت سایبری SentinelOne منتشر شده، حاکی از آن است که این دو بدافزار از ابزارهای مشابه برای رمزگذاری اطلاعات قربانیان بهره میبرند و تنها در برخی جزئیات، مانند اطلاعات تماس هکرها، تفاوت دارند.
به گزارش کمیته رکن چهارم، این باجافزارها که هر دو برنامههای ۶۴ بیتی هستند، با هدف رمزگذاری فایلهای قربانی طراحی شدهاند اما برخی از پوشهها و فایلهای مهم سیستم مانند فولدر System32 یا فایلهای اجرایی با پسوندهای dll و exe از رمزگذاری مستثنی میشوند. برخلاف بسیاری از باجافزارها، Morpheus و HellCat پسوند فایلهای رمزگذاریشده را تغییر نمیدهند اما محتوای آنها قفل میشود و دسترسی قربانی به اطلاعات قطع میگردد.
عملکرد این بدافزارها بسیار ساده اما موثر است؛ از جمله استفاده از ابزارهای رمزگذاری داخلی ویندوز که به آنها کمک میکند تا به سرعت فایلهای قربانی را قفل کنند. نکته قابل توجه این است که این بدافزارها تغییری در ظاهر سیستم، مانند تغییر تصویر پسزمینه یا ایجاد اعلانهای ماندگار، ایجاد نمیکنند و یادداشتهای باجگیری آنها شباهت زیادی به روشهای گروههای قبلی مانند Underground Team دارد.
بررسی SentinelOne نشان میدهد که این دو باجافزار احتمالاً بخشی از مدلی به نام Ransomware-as-a-Service (RaaS) هستند. در این مدل، هکرهای کوچک و تازهکار از ابزارهای آماده و مشترک استفاده میکنند تا حملات خود را اجرا کنند. این روند نشاندهنده افزایش فعالیت گروههای جدید و کوچکتر است که با ابزارهای ساده اما خطرناک، عملیاتهای خود را انجام میدهند.
بر اساس گزارشهای NCC Group، تنها در دسامبر ۲۰۲۴ بیش از ۵۷۴ حمله باجافزاری ثبت شده است که گروههایی مانند FunkSec، Cl0p و Akira از جمله فعالترین مهاجمان بودهاند. ظهور گروههای کوچک و پراکنده که به راحتی قابل ردیابی نیستند، چالشهای امنیتی جدیدی ایجاد کرده و مقابله با آنها را دشوارتر کرده است. این موضوع نشان میدهد که تهدیدات باجافزاری همچنان در حال افزایش است و نیازمند تقویت زیرساختهای امنیتی است.
