Nel report Clustering Attacker Behavior Reveals Hidden Patterns, Sophos pubblica nuovi approfondimenti sulle connessioni tra i più importanti gruppi di ransomware dell'ultimo anno: Hive, Black Basta e Royal. Attacchi recenti suggeriscono che i tre gruppi di ransomware condividano playbook o partner.
A gennaio 2023, Sophos X-Ops aveva indagato su quattro diversi attacchi ransomware per un periodo di tre mesi, uno proveniente da Hive, due da Royal e uno da Black Basta. Sono state trovate chiare somiglianze tra gli attacchi.
Sebbene Royal sia considerato un gruppo molto chiuso, che non coinvolge visibilmente partner provenienti da forum clandestini, sottili somiglianze nelle analisi forensi degli attacchi suggeriscono che tutti e tre i gruppi condividano partner o dettagli tecnici altamente specifici nelle loro attività. Sophos tiene traccia e monitora gli attacchi come un "gruppo di attività di minaccia" che i difensori possono sfruttare per ridurre i tempi di rilevamento e risposta.
Cooperazione di gruppi ransomware
🔎 Il primo rilevamento del comportamento del cluster di attività di minaccia è stato nei log raccolti durante un attacco ransomware Hive (Immagine: Sophos).
"In generale, poiché il modello ransomware-as-a-service richiede partner esterni per eseguire gli attacchi, non è raro che si verifichino sovrapposizioni di tattiche, tecniche e procedure (TTP) tra diversi gruppi di ransomware. In questi casi, tuttavia, le somiglianze sono a un livello molto sottile. Questi comportamenti altamente specifici suggeriscono che il gruppo di ransomware Royal è molto più dipendente dai partner di quanto si pensasse in precedenza", afferma Andrew Brandt, ricercatore senior di Sophos.
Le somiglianze specifiche includono in particolare i seguenti tre aspetti: in primo luogo, se gli aggressori avevano preso il controllo dei sistemi degli obiettivi, venivano utilizzati gli stessi nomi utente e password specifici. In secondo luogo, il payload finale è stato fornito in un archivio .7z, ciascuno con il nome dell'organizzazione vittima. In terzo luogo, i comandi venivano eseguiti sui sistemi infetti utilizzando gli stessi script e file batch.
Uso di script identici
Sophos X-Ops è riuscita a scoprire queste connessioni nell'ambito di un'indagine su quattro attacchi ransomware avvenuti nell'arco di tre mesi. Il primo attacco è stato nel gennaio 2023 con il ransomware Hive. Questo è stato seguito da due attacchi del gruppo reale in febbraio e marzo e infine uno da parte di Black Basta nel marzo di quest'anno.
Una possibile ragione delle somiglianze negli attacchi ransomware osservati potrebbe essere il fatto che verso la fine di gennaio 2023, dopo un'operazione segreta dell'FBI, gran parte delle operazioni di Hive sono state smantellate. Ciò potrebbe aver portato i partner di Hive a cercare un nuovo impiego, possibilmente con Royal e Black Basta, il che potrebbe spiegare le sorprendenti corrispondenze riscontrate nei successivi attacchi ransomware. A causa di queste somiglianze, Sophos X-Ops ha iniziato a tenere traccia di tutti e quattro gli incidenti ransomware come cluster di attività di minaccia.
Clustering delle attività di minaccia
“Se i primi passi nel clustering delle attività di minaccia sono la mappatura dei gruppi, c'è il rischio che i ricercatori si concentrino troppo sul 'chi' di un attacco e trascurino importanti opportunità per rafforzare le difese. La conoscenza del comportamento altamente specifico degli aggressori aiuta i team di Managed Detection and Response (MDR) a rispondere più rapidamente agli attacchi attivi. Aiuta inoltre i fornitori di sicurezza a sviluppare protezioni più solide per i clienti. E quando le difese si basano sul comportamento, non importa chi attacca. Che si tratti di Royal, Black Basta o altri, le potenziali vittime disporranno delle tutele necessarie per bloccare gli attacchi che condividono alcune delle caratteristiche distintive”, afferma Brandt. Finora quest'anno, Royal ransomware è la seconda famiglia di ransomware più comune rilevata da Sophos Incident Response.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.