एपीटी: हाइव, रॉयल और ब्लैक बस्ता रैनसमवेयर का सहयोग

अपनी क्लस्टरिंग अटैकर बिहेवियर रिवील्स हिडन पैटर्न्स रिपोर्ट में, सोफोस ने पिछले वर्ष के सबसे प्रमुख रैंसमवेयर समूहों: हाइव, ब्लैक बस्ता और रॉयल के बीच संबंधों में नई अंतर्दृष्टि प्रकाशित की है। हाल के हमलों से पता चलता है कि तीन रैंसमवेयर समूह प्लेबुक या पार्टनर साझा करते हैं।

जनवरी 2023 तक, सोफोस एक्स-ऑप्स ने तीन महीने की अवधि में चार अलग-अलग रैंसमवेयर हमलों की जांच की थी, एक हाइव से, दो रॉयल से और एक ब्लैक बस्ता से। हमलों के बीच स्पष्ट समानताएं पाई गईं।

हालाँकि रॉयल को एक बहुत ही बंद समूह माना जाता है, जिसमें स्पष्ट रूप से भूमिगत मंचों के साझेदार शामिल नहीं होते हैं, हमलों की फोरेंसिक में सूक्ष्म समानताएँ बताती हैं कि सभी तीन समूह अपनी गतिविधियों में या तो साझेदार या अत्यधिक विशिष्ट तकनीकी विवरण साझा करते हैं। सोफोस हमलों को "खतरे की गतिविधि के समूह" के रूप में ट्रैक और मॉनिटर करता है जिसका लाभ रक्षक पता लगाने और प्रतिक्रिया समय को कम करने के लिए उठा सकते हैं।

रैनसमवेयर समूहों का सहयोग

"सामान्य तौर पर, क्योंकि रैंसमवेयर-ए-ए-सर्विस मॉडल को हमलों को अंजाम देने के लिए बाहरी साझेदारों की आवश्यकता होती है, विभिन्न रैंसमवेयर समूहों के बीच रणनीति, तकनीकों और प्रक्रियाओं (टीटीपी) में ओवरलैप होना असामान्य नहीं है। हालाँकि, इन मामलों में समानताएँ बहुत सूक्ष्म स्तर पर हैं। सोफोस के वरिष्ठ शोधकर्ता एंड्रयू ब्रांट कहते हैं, ''ये अत्यधिक विशिष्ट व्यवहार बताते हैं कि रॉयल रैंसमवेयर समूह पहले की तुलना में भागीदारों पर कहीं अधिक निर्भर है।''

विशिष्ट समानताओं में विशेष रूप से निम्नलिखित तीन पहलू शामिल हैं: पहला, यदि हमलावरों ने लक्ष्य के सिस्टम पर नियंत्रण कर लिया था, तो समान विशिष्ट उपयोगकर्ता नाम और पासवर्ड का उपयोग किया गया था। दूसरा, अंतिम पेलोड .7z संग्रह में प्रदान किया गया था, प्रत्येक का नाम पीड़ित संगठन के नाम पर रखा गया था। तीसरा, समान बैच स्क्रिप्ट और फ़ाइलों का उपयोग करके संक्रमित सिस्टम पर कमांड चलाए गए थे।

समरूप लिपियों का प्रयोग

सोफोस एक्स-ऑप्स तीन महीने की अवधि में हुए चार रैंसमवेयर हमलों की जांच के हिस्से के रूप में इन कनेक्शनों को उजागर करने में सक्षम था। पहला हमला जनवरी 2023 में हाइव रैनसमवेयर से हुआ था। इसके बाद फरवरी और मार्च में रॉयल समूह द्वारा दो हमले किए गए और अंततः इस वर्ष मार्च में ब्लैक बस्ता द्वारा एक हमला किया गया।

देखे गए रैंसमवेयर हमलों में समानता का एक संभावित कारण यह तथ्य हो सकता है कि जनवरी 2023 के अंत में, एफबीआई द्वारा एक गुप्त ऑपरेशन के बाद, हाइव के संचालन का एक बड़ा हिस्सा नष्ट कर दिया गया था। इससे हो सकता है कि हाइव साझेदार नए रोजगार की तलाश में हों - संभवतः रॉयल और ब्लैक बस्ता के साथ - जो बाद के रैंसमवेयर हमलों में पाए गए हड़ताली मैचों की व्याख्या कर सकता है। इन समानताओं के कारण, सोफोस एक्स-ऑप्स ने सभी चार रैंसमवेयर घटनाओं को खतरे की गतिविधियों के समूह के रूप में ट्रैक करना शुरू कर दिया।

ख़तरा गतिविधि क्लस्टरिंग

“अगर ख़तरे की गतिविधियों के क्लस्टरिंग में पहला कदम समूहों को मैप करना है, तो एक जोखिम है कि शोधकर्ता हमले के 'कौन' पर बहुत अधिक ध्यान केंद्रित करेंगे और सुरक्षा को मजबूत करने के महत्वपूर्ण अवसरों को नजरअंदाज कर देंगे। अत्यधिक विशिष्ट हमलावर व्यवहार का ज्ञान प्रबंधित जांच और प्रतिक्रिया (एमडीआर) टीमों को सक्रिय हमलों पर अधिक तेज़ी से प्रतिक्रिया करने में मदद करता है। यह सुरक्षा विक्रेताओं को ग्राहकों के लिए मजबूत सुरक्षा विकसित करने में भी मदद करता है। और जब बचाव व्यवहार पर आधारित होता है, तो इससे कोई फर्क नहीं पड़ता कि कौन हमला करता है। चाहे वह रॉयल हो, ब्लैक बस्ता, या अन्य, संभावित पीड़ितों के पास उन हमलों को रोकने के लिए आवश्यक सुरक्षा उपाय होंगे जो कुछ विशिष्ट विशेषताओं को साझा करते हैं, ”ब्रैंट कहते हैं। इस साल अब तक, रॉयल रैंसमवेयर सोफोस इंसीडेंट रिस्पॉन्स द्वारा खोजा गया दूसरा सबसे आम रैंसमवेयर परिवार है।

Sophos.com पर अधिक

 

---

सोफोस के बारे में

सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।

---

 

विषय से संबंधित लेख