Um estudo sobre operações de ransomware, HellCat e Morpheus, descobriu que as afiliadas associadas às respectivas entidades de crimes cibernéticos estão usando código idêntico para suas chaves de ransomware. As descobertas foram feitas pelo SentinelOne, que analisou artefatos encontrados na plataforma de verificação de malware VirusTotal no final de dezembro de 2024. Tanto o Morpheus quanto o HellCat são novos participantes do ecossistema de ransomware, tendo surgido em outubro e dezembro de 2024, respectivamente.

Tanto o Morpheus quanto o HellCat exigem um caminho específico como argumento de entrada, excluindo o diretório \Windows\System32 e uma lista de extensões de texto cifrado. A característica comum dessas chaves de ransomware é que elas não alteram a matriz de arquivos codificada e criptografada. As notas de resgate seguem o mesmo modelo do Underground Team, outro esquema de ransomware que surgiu em 2023. No entanto, as próprias chaves de ransomware são estrutural e funcionalmente diferentes. O desenvolvimento do ecossistema de ransomware é caracterizado pela descentralização das operações, tendência incentivada pelas interrupções de grupos maiores. Isso levou a invasores menores e mais ágeis, criando um ambiente fragmentado, mas resiliente.

Dados compartilhados pelo NCC Group mostraram que 574 ataques de ransomware foram observados em dezembro de 2024, com a FunkSec respondendo a 103 incidentes. Alguns dos grupos de ransomware predominantes foram Cl0p, Akira e RansomHub. Embora dezembro seja geralmente um período mais tranquilo para ataques de ransomware, o recente aumento nos ataques de ransomware registrados sugere um cenário de ameaças mais turbulento em 2025. O surgimento de novos e agressivos invasores, como o FunkSec, é alarmante e sugere um cenário de ameaças mais turbulento nos próximos meses.