Недавний анализ, проведенный компанией Sentinel One, выявил интересные сходства между двумя семействами программ-вымогателей: HellCat и Morpheus, а также между парой — AidLocker и Frag. Несмотря на разные названия и визуальные элементы в сообщениях о выкупе, образцы из этих двух пар содержат идентичный код, что позволяет подтвердить их общую природу.
Сходства и различия
Обе пары программ-вымогателей имеют общий код, в котором основное внимание уделяется важным функциональным аспектам, таким как:
-
Процессы перечисления файлов
-
Шифрование данных
HellCat включает десять функций, в то время как AidLocker содержит шестнадцать. Из них пять ключевых операций совпадают в обоих вариантах.
Методы работы
Во время атак оба типа программ-вымогателей используют схожие методы для перебора каталогов и пропуска определенных путей. Однако список исключений у них различается:
-
AidLocker реализует более широкий список исключений.
-
HellCat исключает только «WindowsSystem32».
Также различия наблюдаются в процессе генерации уведомлений о выкупе: AidLocker создает файл README.txt, в то время как HellCat использует _README_.txt.
Агрессивные подходы AidLocker
Дополнительные отличия заключаются в следующем:
-
AidLocker добавляет к зашифрованным файлам расширение .aid666, в то время как HellCat оставляет файлы без изменений.
-
AidLocker имеет более обширный список исключений для типов файлов.
-
Более строгая обработка прав доступа к файлам в AidLocker позволяет выполнять повторные попытки доступа и завершать процессы, в которых файл открыт.
Недоступная функциональность в HellCat делает его менее агрессивным по сравнению с AidLocker, который также использует команду wmic shadowcopy delete для удаления теневых копий.
Эволюция и угроза
Временные данные показывают, что Frag появился первым в ноябре 2024 года, за ним последовали AidLocker, HellCat и Morpheus. Последние инциденты с AidLocker указывают на активность в 2025 году, что усложняет понимание происходящих изменений и новизны в этих семействах программ-вымогателей.
Постоянный анализ образцов этих вредоносных программ является важным аспектом в борьбе с потенциальными угрозами в сфере кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
