Recenti analisi hanno evidenziato una sorprendente somiglianza tra i codici dei payload di due famiglie di ransomware emergenti, Morpheus e HellCat. Questi gruppi di cybercriminali, entrati in scena rispettivamente a ottobre e dicembre 2024, sembrano condividere una base di codice comune per i loro attacchi ransomware. L'indagine è stata condotta da SentinelOne, che ha esaminato campioni di malware caricati sulla piattaforma VirusTotal dallo stesso utente verso la fine del 2024.

Questi due campioni di ransomware risultano identici, fatta eccezione per i dettagli specifici della vittima e le informazioni di contatto dell'attaccante. Un aspetto peculiare dei payload di Morpheus e HellCat è che non modificano l'estensione dei file criptati, mantenendo intatte le estensioni e i metadati, anche se il contenuto dei file viene cifrato. Entrambi i ransomware utilizzano l'API crittografica di Windows per la generazione delle chiavi e la cifratura dei file, impiegando l'algoritmo BCrypt per generare le chiavi di cifratura.

Nonostante la capacità di cifrare i file e rilasciare note di riscatto identiche, i ransomware non apportano altre modifiche ai sistemi colpiti, come la modifica dello sfondo del desktop o l'implementazione di meccanismi di persistenza. Le note di riscatto di HellCat e Morpheus seguono il modello standardizzato del team Underground, un altro schema di ransomware emerso nel 2023, anche se i payload ransomware stessi sono differenti a livello strutturale e funzionale.

L'emergere di queste due famiglie di ransomware sottolinea la crescente frammentazione dell'ecosistema ransomware, nonostante gli sforzi delle forze dell'ordine per contrastare questo fenomeno. Le operazioni di ransomware sono sempre più caratterizzate dalla decentralizzazione, un trend alimentato dalla disgregazione dei gruppi più grandi. Questo ha aperto la strada a attori più piccoli e agili, creando un panorama minaccioso frammentato ma resiliente.

Secondo i dati condivisi dal gruppo NCC, nel dicembre 2024 sono stati registrati un record di 574 attacchi ransomware, con FunkSec responsabile di 103 incidenti. Altri gruppi di ransomware attivi includono Cl0p, Akira e RansomHub. Nonostante dicembre sia generalmente un mese più tranquillo per gli attacchi ransomware, il mese scorso ha registrato il numero più alto di attacchi mai visto, invertendo la tendenza consueta. L'emergere di attori nuovi e aggressivi, come FunkSec, è allarmante e suggerisce un panorama delle minacce più turbolento nel 2025.