Sophos veröffentlicht in seinem Bericht „Clustering Attacker Behavior Reveals Hidden Patterns“ neue Erkenntnisse über Verbindungen zwischen den bekanntesten Ransomware-Gruppen des vergangenen Jahres: Hive, Black Basta und Royal. Aktuelle Angriffe legen nahe, dass die drei Ransomware-Gruppen Playbooks oder Partner teilen.
Ab Januar 2023 hatte Sophos X-Ops über einen Zeitraum von drei Monaten vier verschiedene Ransomware-Angriffe untersucht, bei denen einer auf Hive, zwei auf Royal und einer auf Black Basta zurückging. Dabei wurden deutliche Ähnlichkeiten zwischen den Angriffen festgestellt.
Obwohl Royal als sehr verschlossene Gruppe gilt, die keine Partner aus Untergrundforen sichtbar involviert, deuten feine Ähnlichkeiten in der Forensik der Angriffe darauf hin, dass alle drei Gruppen im Rahmen ihrer Aktivitäten entweder Partner oder hochspezifische technische Details teilen. Sophos verfolgt und überwacht die Angriffe als „Cluster von Bedrohungsaktivitäten“, die Verteidiger nutzen können, um die Erkennungs- und Reaktionszeiten zu verkürzen.
Zusammenarbeit der Ransomware-Gruppen
🔎 Die erste Erkennung des Verhaltens von Bedrohungsaktivitätsclustern erfolgte in Protokollen, die während eines Hive-Ransomware-Angriffs gesammelt wurden (Bild: Sophos).
„Da das Ransomware-as-a-Service-Modell externe Partner für die Durchführung der Angriffe erfordert, ist es generell nicht ungewöhnlich, dass es Überschneidungen in den Taktiken, Techniken und Verfahren (TTPs) zwischen verschiedenen Ransomware-Gruppen gibt. In diesen Fällen handelt es sich jedoch um Ähnlichkeiten auf einer sehr feinen Ebene. Diese hochspezifischen Verhaltensweisen legen nahe, dass die Royal-Ransomware-Gruppe viel abhängiger von Partnern ist als bisher angenommen“, sagt Andrew Brandt, leitender Forscher bei Sophos.
Die spezifischen Ähnlichkeiten umfassen insbesondere die folgenden drei Aspekte: Hatten erstens die Angreifer die Kontrolle über die Systeme der Ziele übernommen, kamen die gleichen spezifischen Benutzernamen und Passwörter zur Anwendung. Zweitens wurde die endgültige Payload in einem .7z-Archiv, das jeweils nach der Opferorganisation benannt war, bereitgestellt. Drittens wurden Befehle auf den infizierten Systemen mit denselben Batch-Skripten und Dateien ausgeführt.
Nutzung von identischen Skripten
Sophos X-Ops gelang es, diese Verbindungen im Rahmen einer Untersuchung von vier Ransomware-Angriffen aufzudecken, die im Zeitraum von drei Monaten stattgefunden hatten. Der erste Angriff erfolgte im Januar 2023 mit der Hive-Ransomware. Darauf folgten im Februar und März zwei Angriffe der Royal-Gruppe und sowie schließlich einer von Black Basta im März dieses Jahres.
Eine mögliche Ursache für die Ähnlichkeiten bei den beobachteten Ransomware-Angriffen könnte die Tatsache sein, dass gegen Ende Januar 2023 nach einer geheimen Operation des FBI ein großer Teil der Operationen von Hive aufgelöst wurde. Dies könnte dazu geführt haben, dass Hive-Partner nach einer neuen Beschäftigung suchten – möglicherweise bei Royal und Black Basta – was die auffälligen Übereinstimmungen in den folgenden Ransomware-Angriffen erklären könnte. Aufgrund dieser Ähnlichkeiten begann Sophos X-Ops, alle vier Ransomware-Vorfälle als Cluster von Bedrohungsaktivitäten zu verfolgen.
Bedrohungsaktivitäten-Clustering
„Wenn beim Bedrohungsaktivitäten-Clustering die ersten Schritte darin bestehen, die Zuordnung zu Gruppen vorzunehmen, besteht die Gefahr, dass Forscher sich zu sehr auf das ‚Wer‘ eines Angriffs konzentrieren und dabei wichtige Möglichkeiten zur Stärkung der Verteidigung übersehen. Das Wissen über hochspezifisches Angreifer-Verhalten hilft Managed Detection and Response (MDR)-Teams, schneller auf aktive Angriffe zu reagieren. Es hilft auch Sicherheitsanbietern dabei, stärkere Schutzmaßnahmen für Kunden zu entwickeln. Und wenn Schutzmaßnahmen auf Verhaltensweisen basieren, spielt es keine Rolle, wer angreift. Egal ob Royal, Black Basta oder andere – potenzielle Opfer werden die notwendigen Sicherheitsvorkehrungen getroffen haben, um Angriffe, die einige der charakteristischen Merkmale aufweisen, zu blockieren“, sagt Brandt. Bislang ist die Royal-Ransomware in diesem Jahr die zweithäufigste bei den Sophos Incident Response festgestellte Ransomware-Familie.
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.