背景概述:
近期,對Morpheus和HellCat勒索軟體的分析揭露了一個日益複雜的網路犯罪生態,這兩個新興的勒索軟體家族透過共享程式碼基礎展現了彼此的聯繫。這一發現強調了勒索軟體作為服務(RaaS)模式的持續演化,以及攻擊者在開發工具和運營策略上的高效協作。
根據SentinelOne的最新報告,這些樣本的關鍵相似性表明,它們可能源於相同的構建工具或程式碼庫,這對企業的防禦策略提出了更高的要求。
技術詳解:Morpheus與HellCat的負載特性
從技術層面看,Morpheus和HellCat雖然是新進者,但其負載設計顯示了精心策劃的工程能力。
- 64位便攜執行檔:
每個負載均為64位便攜執行檔,並需要指定路徑作為參數,這表明攻擊者可能利用自動化腳本或工具精確鎖定目標資料。 - 排除特定目標:
它們避免加密Windows核心目錄(如\Windows\System32)及特定擴展名(如.dll、.sys等),表明攻擊者有意避免導致系統完全崩潰的風險,以確保受害者仍能訪問基礎系統,並支付贖金。 - 加密特徵:
- 加密過程中使用Windows加密API進行密鑰生成,採用BCrypt演算法進一步提升加密的複雜度。
- 不更改受影響檔案的副檔名,讓受害者難以快速識別受感染的檔案範圍。
- 未設置持久化機制:
攻擊者選擇了一種“輕量級”的負載運行方式,僅加密檔案並投放勒索信,而未執行其他系統修改,如更改桌面背景或植入持久化後門。這種策略可能是為了快速執行攻擊,並減少被安全工具檢測到的風險。
聯繫與RaaS模式的威脅分析
Morpheus與HellCat之間的關聯反映了RaaS生態系統的日益碎片化和分散化:
- 共享代碼基礎:
兩者的勒索信模板與2023年出現的“Underground Team”類似,但功能實現上存在差異。這表明,攻擊者可能正在利用共享的程式碼庫或構建工具快速生成負載,而不是重新編寫程式碼。 - 相同的合作夥伴網絡:
RaaS模式促進了分散式運營,攻擊者可通過“租賃”方式接觸多個勒索軟體家族的工具,這不僅增加了執法追蹤的困難,也使新興團隊能快速進入市場。
威脅格局與應對建議
當前的勒索軟體生態系統愈加複雜,呈現出分散化、小型化和高度靈活的特點。根據NCC Group的數據,2024年12月的勒索軟體攻擊數量達到創紀錄的574起,其中新興群體(如FunkSec)尤為活躍。
- 持續監控與威脅情報分享:
企業需部署以行為分析為核心的入侵檢測系統(IDS),實現全天候網絡活動監控,精準發現異常與潛在威脅。同時,應與威脅情報共享平台緊密合作,定期更新威脅數據庫,獲取最新攻擊模式和技術的深入洞察,從而迅速調整安全策略,增強應對新型威脅的能力
- 加強防禦策略:
- 嚴格限制外部訪問,確保遠端桌面協議(RDP)和網路文件共享(SMB)服務的安全性。
- 定期執行修補管理,防止已知漏洞被利用。
- 數據備份與恢復計劃:
採用多層次的備份策略,確保關鍵數據可快速恢復。同時測試恢復流程,確保實用性與可靠性。 - 安全意識培訓:
提高員工對勒索軟體攻擊的認識,特別是在釣魚郵件和社交工程攻擊方面的防範意識。
結語:
Morpheus和HellCat的崛起標誌著勒索軟體威脅的新階段。對於安全專家來說,理解這些新興威脅的技術基礎和運營模式是制定有效防禦策略的關鍵。同時,企業應積極部署多層次的防禦措施,降低這些分散化威脅的影響力。
Morpheus和HellCat的部分入侵指標(Indicator of compromise -IOCs):
b834d9dbe2aed69e0b1545890f0be6f89b2a53c7 (HellCat)
f62d2038d00cb44c7cbd979355a9d060c10c9051 (Morpheus)
f86324f889d078c00c2d071d6035072a0abb1f73 (Morpheus)
