Em seu relatório Clustering Attacker Behavior Reveals Hidden Patterns, a Sophos publica novos insights sobre as conexões entre os grupos de ransomware mais proeminentes do ano passado: Hive, Black Basta e Royal. Ataques recentes sugerem que os três grupos de ransomware compartilham manuais ou parceiros.
Em janeiro de 2023, a Sophos X-Ops investigou quatro ataques de ransomware diferentes ao longo de um período de três meses, um originário do Hive, dois do Royal e um do Black Basta. Claras semelhanças entre os ataques foram encontradas.
Embora Royal seja considerado um grupo muito fechado, não envolvendo visivelmente parceiros de fóruns clandestinos, semelhanças sutis na perícia dos ataques sugerem que todos os três grupos compartilham parceiros ou detalhes técnicos altamente específicos em suas atividades. A Sophos rastreia e monitora os ataques como um "cluster de atividade de ameaça" que os defensores podem aproveitar para reduzir os tempos de detecção e resposta.
Cooperação de grupos de ransomware
🔎 A primeira detecção do comportamento do cluster de atividade de ameaça foi em logs coletados durante um ataque de ransomware Hive (Imagem: Sophos).
“Em geral, como o modelo de ransomware como serviço requer parceiros externos para executar os ataques, não é incomum que haja sobreposições de táticas, técnicas e procedimentos (TTPs) entre diferentes grupos de ransomware. Nesses casos, no entanto, as semelhanças estão em um nível muito sutil. Esses comportamentos altamente específicos sugerem que o grupo Royal ransomware é muito mais dependente de parceiros do que se pensava anteriormente”, diz Andrew Brandt, pesquisador sênior da Sophos.
As semelhanças específicas incluem os três aspectos a seguir em particular: primeiro, se os invasores assumiram o controle dos sistemas dos alvos, os mesmos nomes de usuário e senhas específicos foram usados. Em segundo lugar, a carga final foi fornecida em um arquivo .7z, cada um com o nome da organização vítima. Em terceiro lugar, os comandos foram executados nos sistemas infectados usando os mesmos scripts e arquivos em lote.
Uso de scripts idênticos
A Sophos X-Ops conseguiu descobrir essas conexões como parte de uma investigação sobre quatro ataques de ransomware que ocorreram durante um período de três meses. O primeiro ataque foi em janeiro de 2023 com o ransomware Hive. Seguiram-se dois ataques do grupo Royal em fevereiro e março e, finalmente, um do Black Basta em março deste ano.
Uma possível razão para as semelhanças nos ataques de ransomware observados pode ser o fato de que, no final de janeiro de 2023, após uma operação secreta do FBI, grande parte das operações da Hive foram desmanteladas. Isso pode ter levado os parceiros da Hive a procurar um novo emprego - possivelmente na Royal e Black Basta - o que poderia explicar as correspondências marcantes encontradas em ataques de ransomware subsequentes. Devido a essas semelhanças, o Sophos X-Ops começou a rastrear todos os quatro incidentes de ransomware como um grupo de atividades de ameaças.
Agrupamento de atividades de ameaças
“Se os primeiros passos no agrupamento de atividades de ameaças forem mapear grupos, existe o risco de que os pesquisadores se concentrem demais no 'quem' de um ataque e ignorem oportunidades importantes para fortalecer as defesas. O conhecimento do comportamento altamente específico do invasor ajuda as equipes de Detecção e Resposta Gerenciada (MDR) a responder mais rapidamente a ataques ativos. Também ajuda os fornecedores de segurança a desenvolver proteções mais fortes para os clientes. E quando as defesas são baseadas no comportamento, não importa quem ataca. Seja Royal, Black Basta ou outros, as vítimas em potencial terão as proteções necessárias para bloquear ataques que compartilham algumas das características distintas”, diz Brandt. Até agora este ano, o Royal ransomware é a segunda família de ransomware mais comum detectada pelo Sophos Incident Response.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.