En su informe Clustering Attacker Behavior Reveals Hidden Patterns, Sophos publica nuevos conocimientos sobre las conexiones entre los grupos de ransomware más destacados del año pasado: Hive, Black Basta y Royal. Los ataques recientes sugieren que los tres grupos de ransomware comparten libros de jugadas o socios.
Hasta enero de 2023, Sophos X-Ops había investigado cuatro ataques de ransomware diferentes durante un período de tres meses, uno procedente de Hive, dos de Royal y uno de Black Basta. Se encontraron claras similitudes entre los ataques.
Aunque Royal se considera un grupo muy cerrado, que no involucra visiblemente a socios de foros clandestinos, las similitudes sutiles en el análisis forense de los ataques sugieren que los tres grupos comparten socios o detalles técnicos muy específicos en sus actividades. Sophos rastrea y monitorea los ataques como un "grupo de actividad de amenazas" que los defensores pueden aprovechar para reducir los tiempos de detección y respuesta.
Cooperación de grupos de ransomware
🔎 La primera detección del comportamiento del clúster de actividad de amenazas se realizó en los registros recopilados durante un ataque de ransomware Hive (Imagen: Sophos).
"En general, debido a que el modelo de ransomware como servicio requiere socios externos para ejecutar los ataques, no es raro que haya superposiciones en tácticas, técnicas y procedimientos (TTP) entre diferentes grupos de ransomware. En estos casos, sin embargo, las similitudes se encuentran en un nivel muy sutil. Estos comportamientos altamente específicos sugieren que el grupo de ransomware Royal depende mucho más de los socios de lo que se pensaba anteriormente”, dice Andrew Brandt, investigador principal de Sophos.
Las similitudes específicas incluyen los siguientes tres aspectos en particular: primero, si los atacantes habían tomado el control de los sistemas de los objetivos, se usaron los mismos nombres de usuario y contraseñas específicos. En segundo lugar, la carga útil final se proporcionó en un archivo .7z, cada uno con el nombre de la organización víctima. En tercer lugar, los comandos se ejecutaron en los sistemas infectados utilizando los mismos archivos y scripts por lotes.
Uso de guiones idénticos
Sophos X-Ops pudo descubrir estas conexiones como parte de una investigación sobre cuatro ataques de ransomware que tuvieron lugar durante un período de tres meses. El primer ataque fue en enero de 2023 con el ransomware Hive. A esto le siguieron dos ataques del grupo Royal en febrero y marzo y finalmente uno de Black Basta en marzo de este año.
Una posible razón de las similitudes en los ataques de ransomware observados podría ser el hecho de que a finales de enero de 2023, tras una operación encubierta del FBI, gran parte de las operaciones de Hive fueron desmanteladas. Esto puede haber llevado a los socios de Hive a buscar un nuevo empleo, posiblemente con Royal y Black Basta, lo que podría explicar las sorprendentes coincidencias encontradas en los ataques de ransomware posteriores. Debido a estas similitudes, Sophos X-Ops comenzó a rastrear los cuatro incidentes de ransomware como un conjunto de actividades de amenazas.
Agrupación de actividades de amenazas
“Si los primeros pasos en la agrupación de actividades de amenazas son mapear grupos, existe el riesgo de que los investigadores se concentren demasiado en el 'quién' de un ataque y pasen por alto oportunidades importantes para fortalecer las defensas. El conocimiento del comportamiento de un atacante altamente específico ayuda a los equipos de Detección y Respuesta Administradas (MDR) a responder más rápidamente a los ataques activos. También ayuda a los proveedores de seguridad a desarrollar protecciones más sólidas para los clientes. Y cuando las defensas se basan en el comportamiento, no importa quién ataque. Ya se trate de Royal, Black Basta u otros, las posibles víctimas contarán con las medidas de seguridad necesarias para bloquear ataques que comparten algunas de las características distintivas”, dice Brandt. En lo que va de año, Royal ransomware es la segunda familia de ransomware más común detectada por Sophos Incident Response.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.