APT: Kooperation von Hive, Royal und Black Basta Ransomware

Sophos News

Beitrag teilen

Sophos veröffentlicht in seinem Bericht „Clustering Attacker Behavior Reveals Hidden Patterns“ neue Erkenntnisse über Verbindungen zwischen den bekanntesten Ransomware-Gruppen des vergangenen Jahres: Hive, Black Basta und Royal. Aktuelle Angriffe legen nahe, dass die drei Ransomware-Gruppen Playbooks oder Partner teilen.

Ab Januar 2023 hatte Sophos X-Ops über einen Zeitraum von drei Monaten vier verschiedene Ransomware-Angriffe untersucht, bei denen einer auf Hive, zwei auf Royal und einer auf Black Basta zurückging. Dabei wurden deutliche Ähnlichkeiten zwischen den Angriffen festgestellt.

Obwohl Royal als sehr verschlossene Gruppe gilt, die keine Partner aus Untergrundforen sichtbar involviert, deuten feine Ähnlichkeiten in der Forensik der Angriffe darauf hin, dass alle drei Gruppen im Rahmen ihrer Aktivitäten entweder Partner oder hochspezifische technische Details teilen. Sophos verfolgt und überwacht die Angriffe als „Cluster von Bedrohungsaktivitäten“, die Verteidiger nutzen können, um die Erkennungs- und Reaktionszeiten zu verkürzen.

Zusammenarbeit der Ransomware-Gruppen

🔎 Die erste Erkennung des Verhaltens von Bedrohungsaktivitätsclustern erfolgte in Protokollen, die während eines Hive-Ransomware-Angriffs gesammelt wurden (Bild: Sophos).

„Da das Ransomware-as-a-Service-Modell externe Partner für die Durchführung der Angriffe erfordert, ist es generell nicht ungewöhnlich, dass es Überschneidungen in den Taktiken, Techniken und Verfahren (TTPs) zwischen verschiedenen Ransomware-Gruppen gibt. In diesen Fällen handelt es sich jedoch um Ähnlichkeiten auf einer sehr feinen Ebene. Diese hochspezifischen Verhaltensweisen legen nahe, dass die Royal-Ransomware-Gruppe viel abhängiger von Partnern ist als bisher angenommen“, sagt Andrew Brandt, leitender Forscher bei Sophos.

Die spezifischen Ähnlichkeiten umfassen insbesondere die folgenden drei Aspekte: Hatten erstens die Angreifer die Kontrolle über die Systeme der Ziele übernommen, kamen die gleichen spezifischen Benutzernamen und Passwörter zur Anwendung. Zweitens wurde die endgültige Payload in einem .7z-Archiv, das jeweils nach der Opferorganisation benannt war, bereitgestellt. Drittens wurden Befehle auf den infizierten Systemen mit denselben Batch-Skripten und Dateien ausgeführt.

Nutzung von identischen Skripten

Sophos X-Ops gelang es, diese Verbindungen im Rahmen einer Untersuchung von vier Ransomware-Angriffen aufzudecken, die im Zeitraum von drei Monaten stattgefunden hatten. Der erste Angriff erfolgte im Januar 2023 mit der Hive-Ransomware. Darauf folgten im Februar und März zwei Angriffe der Royal-Gruppe und sowie schließlich einer von Black Basta im März dieses Jahres.

Eine mögliche Ursache für die Ähnlichkeiten bei den beobachteten Ransomware-Angriffen könnte die Tatsache sein, dass gegen Ende Januar 2023 nach einer geheimen Operation des FBI ein großer Teil der Operationen von Hive aufgelöst wurde. Dies könnte dazu geführt haben, dass Hive-Partner nach einer neuen Beschäftigung suchten – möglicherweise bei Royal und Black Basta – was die auffälligen Übereinstimmungen in den folgenden Ransomware-Angriffen erklären könnte. Aufgrund dieser Ähnlichkeiten begann Sophos X-Ops, alle vier Ransomware-Vorfälle als Cluster von Bedrohungsaktivitäten zu verfolgen.

Bedrohungsaktivitäten-Clustering

„Wenn beim Bedrohungsaktivitäten-Clustering die ersten Schritte darin bestehen, die Zuordnung zu Gruppen vorzunehmen, besteht die Gefahr, dass Forscher sich zu sehr auf das ‚Wer‘ eines Angriffs konzentrieren und dabei wichtige Möglichkeiten zur Stärkung der Verteidigung übersehen. Das Wissen über hochspezifisches Angreifer-Verhalten hilft Managed Detection and Response (MDR)-Teams, schneller auf aktive Angriffe zu reagieren. Es hilft auch Sicherheitsanbietern dabei, stärkere Schutzmaßnahmen für Kunden zu entwickeln. Und wenn Schutzmaßnahmen auf Verhaltensweisen basieren, spielt es keine Rolle, wer angreift. Egal ob Royal, Black Basta oder andere – potenzielle Opfer werden die notwendigen Sicherheitsvorkehrungen getroffen haben, um Angriffe, die einige der charakteristischen Merkmale aufweisen, zu blockieren“, sagt Brandt. Bislang ist die Royal-Ransomware in diesem Jahr die zweithäufigste bei den Sophos Incident Response festgestellte Ransomware-Familie.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Cyberkriminelle missbrauchen DeepSeek für Betrugsmaschen

Mit dem Fortschritt künstlicher Intelligenz entwickeln sich auch die Methoden von Cyberkriminellen weiter. Der jüngste Anstieg KI-gestützter Betrugsmaschen rund um ➡ Weiterlesen

Warnung vor chinesischer Ransomware-Bande Ghost

Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten ➡ Weiterlesen

Cyberattacken gegen das Landesdatennet in Thüringen

Das Landesdatennetz in Thüringen muss vielfältige digitale Angriffe abwehren. Teilweise gab es im vergangenen Jahr gezielte Attacken auf Systeme der ➡ Weiterlesen

PlushDaemon: Neue chinesische APT-Gruppe entdeckt

Die chinesische APT-Hackergruppe PlushDaemon greift sowohl Unternehmen als auch Privatnutzer auf der ganzen Welt an. Mit dem Backdoor "Slow Stepper" ➡ Weiterlesen

Phishing: Neue Attacken über kompromittierte Reisebüro-Konten

Aktuell nutzen Cyberkriminelle die Konten einer bekannten Reiseagentur, um Phishing-Mails in Umlauf zu bringen und auf diese Weise Schadsoftware zu ➡ Weiterlesen

Deutsche Unternehmensnetzwerke von Angriffen bedroht

Laut einer aktuellen IT-Sicherheitsstudie ist das Unternehmensnetzwerk jeder zweiten deutschen Organisation Ziel von Cyberangriffen. Bei rund 40 Prozent von ihnen ➡ Weiterlesen

Cyberangriff auf Staatsregierung und Polizei

Nach Informationen des BR kam es zu einem stundenlangen Cyberangriff auf Webseiten von Staatsregierung und Polizei. Das Landesamt für Sicherheit ➡ Weiterlesen

Cyberangriff auf Bundeswehr-Universität

Die Universität der Bundeswehr München ist zum Ziel einer Cyberattacke geworden. Bei dem Vorfall sind potenziell zahlreiche Datensätze von Studenten ➡ Weiterlesen