Dans son rapport Clustering Attacker Behaviour Reveals Hidden Patterns, Sophos publie de nouvelles informations sur les connexions entre les groupes de ransomwares les plus importants de l'année écoulée : Hive, Black Basta et Royal. Des attaques récentes suggèrent que les trois groupes de rançongiciels partagent des playbooks ou des partenaires.
En janvier 2023, Sophos X-Ops avait enquêté sur quatre attaques de rançongiciels différentes sur une période de trois mois, une provenant de Hive, deux de Royal et une de Black Basta. Des similitudes claires entre les attaques ont été trouvées.
Bien que Royal soit considéré comme un groupe très fermé, n'impliquant visiblement pas de partenaires de forums clandestins, de subtiles similitudes dans la criminalistique des attaques suggèrent que les trois groupes partagent soit des partenaires, soit des détails techniques très spécifiques dans leurs activités. Sophos suit et surveille les attaques comme un « cluster d'activité de menace » que les défenseurs peuvent exploiter pour réduire les temps de détection et de réponse.
Coopération des groupes de rançongiciels
🔎 La première détection du comportement du cluster d'activité de menace a été dans les journaux collectés lors d'une attaque de ransomware Hive (Image : Sophos).
"En général, étant donné que le modèle de ransomware en tant que service nécessite des partenaires externes pour exécuter les attaques, il n'est pas rare qu'il y ait des chevauchements de tactiques, de techniques et de procédures (TTP) entre différents groupes de ransomwares. Dans ces cas, cependant, les similitudes sont à un niveau très subtil. Ces comportements très spécifiques suggèrent que le groupe Royal ransomware est beaucoup plus dépendant de ses partenaires qu'on ne le pensait auparavant », déclare Andrew Brandt, chercheur senior chez Sophos.
Les similitudes spécifiques incluent notamment les trois aspects suivants : Premièrement, si les attaquants avaient pris le contrôle des systèmes des cibles, les mêmes noms d'utilisateur et mots de passe spécifiques étaient utilisés. Deuxièmement, la charge utile finale a été fournie dans une archive .7z, chacune portant le nom de l'organisation victime. Troisièmement, des commandes ont été exécutées sur les systèmes infectés en utilisant les mêmes scripts et fichiers batch.
Utilisation de scripts identiques
Sophos X-Ops a pu découvrir ces connexions dans le cadre d'une enquête sur quatre attaques de ransomware qui se sont déroulées sur une période de trois mois. La première attaque a eu lieu en janvier 2023 avec le rançongiciel Hive. Cela a été suivi de deux attaques du groupe Royal en février et mars et enfin une de Black Basta en mars de cette année.
Une raison possible des similitudes dans les attaques de ransomware observées pourrait être le fait que vers la fin janvier 2023, après une opération secrète du FBI, une grande partie des opérations de Hive ont été démantelées. Cela a peut-être conduit les partenaires de Hive à chercher un nouvel emploi - peut-être avec Royal et Black Basta - ce qui pourrait expliquer les correspondances frappantes trouvées lors des attaques ultérieures de ransomwares. En raison de ces similitudes, Sophos X-Ops a commencé à suivre les quatre incidents de ransomware en tant que cluster d'activités de menace.
Regroupement des activités de menace
« Si les premières étapes du regroupement des activités de menace consistent à cartographier les groupes, il y a un risque que les chercheurs se concentrent trop sur le « qui » d'une attaque et négligent d'importantes opportunités de renforcer les défenses. La connaissance du comportement hautement spécifique des attaquants aide les équipes de détection et de réponse gérées (MDR) à réagir plus rapidement aux attaques actives. Il aide également les fournisseurs de sécurité à développer des protections plus solides pour les clients. Et lorsque les défenses sont basées sur le comportement, peu importe qui attaque. Qu'il s'agisse de Royal, de Black Basta ou d'autres, les victimes potentielles disposeront des protections nécessaires pour bloquer les attaques qui partagent certaines des caractéristiques distinctives », déclare Brandt. Jusqu'à présent cette année, Royal ransomware est la deuxième famille de ransomwares la plus fréquemment détectée par Sophos Incident Response.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.