ソフォスは、「Clustering Attacker Behavials Reveals Hidden Patterns」レポートで、過去 XNUMX 年間で最も著名なランサムウェア グループである Hive、Black Basta、Royal 間の関係に関する新たな洞察を公開しています。 最近の攻撃では、XNUMX つのランサムウェア グループがプレイブックまたはパートナーを共有していることが示唆されています。
2023 年 XNUMX 月の時点で、Sophos X-Ops は XNUMX か月にわたって XNUMX つの異なるランサムウェア攻撃を調査しました。XNUMX つは Hive から、XNUMX つは Royal から、XNUMX つは Black Basta からのものでした。 攻撃間には明らかな類似点が見つかりました。
Royal は非常に閉鎖的なグループであり、地下フォーラムのパートナーが関与していることは明らかではないと考えられていますが、攻撃のフォレンジックにおける微妙な類似点は、XNUMX つのグループすべてがその活動においてパートナーまたは非常に特殊な技術的詳細を共有していることを示唆しています。 ソフォスは、攻撃を「脅威アクティビティのクラスター」として追跡および監視し、防御側はこれを利用して検出と応答時間を短縮します。
ランサムウェアグループの協力
🔎 脅威アクティビティのクラスター動作が最初に検出されたのは、Hive ランサムウェア攻撃中に収集されたログでした (画像: Sophos)。
「一般に、サービスとしてのランサムウェア モデルでは、外部パートナーが攻撃を実行する必要があるため、異なるランサムウェア グループ間で戦術、技術、手順 (TTP) が重複することは珍しくありません。 ただし、これらの場合、類似性は非常に微妙なレベルです。 これらの非常に特殊な動作は、Royal ランサムウェア グループがこれまで考えられていたよりもはるかにパートナーに依存していることを示唆しています」とソフォスの上級研究員である Andrew Brandt 氏は述べています。
具体的な類似点には、特に次の 7 つの側面が含まれます。 まず、攻撃者がターゲットのシステムを制御した場合、同じ特定のユーザー名とパスワードが使用されます。 次に、最終的なペイロードは .XNUMXz アーカイブで提供され、それぞれに被害組織の名前が付けられました。 XNUMX 番目に、同じバッチ スクリプトとファイルを使用して、感染したシステム上でコマンドが実行されました。
同一のスクリプトの使用
Sophos X-Ops は、2023 か月間に発生した XNUMX 件のランサムウェア攻撃の調査の一環として、これらの接続を明らかにすることができました。 最初の攻撃は XNUMX 年 XNUMX 月に Hive ランサムウェアによるものでした。 これに続いて、今年XNUMX月とXNUMX月にロイヤルグループによるXNUMX回の攻撃が続き、最後に今年XNUMX月にブラックバスタによるXNUMX回の攻撃が発生した。
観察されたランサムウェア攻撃に類似性がある理由として考えられるのは、2023 年 XNUMX 月末にかけて、FBI による秘密作戦の後、Hive の作戦の大部分が解体されたという事実である可能性があります。 これにより、Hive パートナーが新しい雇用を探している可能性があります (おそらく Royal Basta と Black Basta で)。これが、その後のランサムウェア攻撃で見つかった顕著な一致を説明する可能性があります。 これらの類似点のため、Sophos X-Ops は XNUMX つのランサムウェア インシデントすべてを脅威アクティビティのクラスターとして追跡し始めました。
脅威アクティビティのクラスタリング
「脅威活動のクラスタリングの最初のステップがグループへのマッピングである場合、研究者は攻撃の「誰」に焦点を当てすぎて、防御を強化する重要な機会を見逃してしまうリスクがあります。 非常に具体的な攻撃者の行動に関する知識は、マネージド検出および対応 (MDR) チームがアクティブな攻撃に対してより迅速に対応するのに役立ちます。 また、セキュリティ ベンダーが顧客向けに強力な保護を開発するのにも役立ちます。 そして、防御が行動に基づいている場合、誰が攻撃するかは問題ではありません。 ロイヤル、ブラック バスタ、その他のいずれであっても、潜在的な被害者は、いくつかの特有の特徴を共有する攻撃をブロックするために必要な保護手段を備えているでしょう」とブラント氏は言います。 今年これまでのところ、Royal ランサムウェアは、Sophos Incident Response によって検出されたランサムウェア ファミリの中で XNUMX 番目に多いものです。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。