Kümeleme Saldırgan Davranışı Gizli Kalıpları Ortaya Çıkarıyor raporunda Sophos, geçen yılın en önde gelen fidye yazılımı grupları olan Hive, Black Basta ve Royal arasındaki bağlantılara ilişkin yeni içgörüler yayınlıyor. Son saldırılar, üç fidye yazılımı grubunun oyun kitaplarını veya ortakları paylaştığını gösteriyor.
Ocak 2023 itibarıyla Sophos X-Ops, üç aylık bir süre içinde biri Hive, ikisi Royal ve biri Black Basta kaynaklı olmak üzere dört farklı fidye yazılımı saldırısını araştırmıştı. Saldırılar arasında net benzerlikler bulundu.
Royal çok kapalı bir grup olarak görülse de, yeraltı forumlarından ortakları gözle görülür bir şekilde içermiyor, saldırıların adli tıpındaki ince benzerlikler, üç grubun da faaliyetlerinde ya ortakları ya da oldukça spesifik teknik detayları paylaştığını gösteriyor. Sophos, saldırıları, savunucuların algılama ve yanıt sürelerini azaltmak için yararlanabilecekleri bir "tehdit etkinliği kümesi" olarak izler ve izler.
Fidye yazılımı gruplarının işbirliği
🔎 Tehdit etkinliği kümesi davranışının ilk tespiti, bir Hive fidye yazılımı saldırısı sırasında toplanan günlüklerdeydi (Resim: Sophos).
"Genel olarak, hizmet olarak fidye yazılımı modeli, saldırıları gerçekleştirmek için dış ortaklar gerektirdiğinden, farklı fidye yazılımı grupları arasında taktik, teknik ve prosedürlerde (TTP'ler) çakışma olması alışılmadık bir durum değildir. Ancak bu durumlarda benzerlikler çok ince bir düzeydedir. Sophos'ta kıdemli araştırmacı olan Andrew Brandt, "Bu son derece spesifik davranışlar, Royal fidye yazılımı grubunun ortaklara önceden düşünülenden çok daha fazla bağımlı olduğunu gösteriyor" diyor.
Spesifik benzerlikler özellikle aşağıdaki üç yönü içerir: Birincisi, eğer saldırganlar hedeflerin sistemlerinin kontrolünü ele geçirmişlerse, aynı özel kullanıcı adları ve şifreler kullanılıyordu. İkincisi, nihai yük, her biri kurban kuruluşun adını taşıyan bir .7z arşivinde sağlandı. Üçüncüsü, virüslü sistemlerde aynı toplu komut dosyaları ve dosyalar kullanılarak komutlar çalıştırıldı.
Aynı komut dosyalarının kullanımı
Sophos X-Ops, üç aylık bir süre içinde gerçekleşen dört fidye yazılımı saldırısına ilişkin soruşturmanın bir parçası olarak bu bağlantıları ortaya çıkarmayı başardı. İlk saldırı Ocak 2023'te Hive fidye yazılımı ile gerçekleşti. Bunu, Şubat ve Mart aylarında Kraliyet grubu tarafından yapılan iki saldırı ve son olarak bu yılın Mart ayında Black Basta tarafından yapılan bir saldırı izledi.
Gözlemlenen fidye yazılımı saldırılarındaki benzerliklerin olası bir nedeni, 2023 Ocak ayının sonlarına doğru FBI'ın gizli bir operasyonu sonrasında Hive'ın operasyonlarının büyük bir kısmının tasfiye edilmiş olması olabilir. Bu, Hive ortaklarının muhtemelen Royal ve Black Basta ile yeni işler aramasına yol açmış olabilir; bu, sonraki fidye yazılımı saldırılarında bulunan çarpıcı eşleşmeleri açıklayabilir. Bu benzerlikler nedeniyle Sophos X-Ops, dört fidye yazılımı olayını da bir tehdit etkinlikleri kümesi olarak izlemeye başladı.
Tehdit Aktivitesi Kümelemesi
"Tehdit etkinliği kümelemesindeki ilk adımlar grupları haritalandırmaksa, araştırmacıların bir saldırının 'kim' olduğuna çok fazla odaklanma ve savunmayı güçlendirmeye yönelik önemli fırsatları gözden kaçırma riski vardır. Son derece spesifik saldırgan davranışı bilgisi, Yönetilen Tespit ve Müdahale (MDR) ekiplerinin aktif saldırılara daha hızlı yanıt vermesine yardımcı olur. Ayrıca, güvenlik satıcılarının müşteriler için daha güçlü korumalar geliştirmesine yardımcı olur. Ve savunmalar davranışa dayalı olduğunda, kimin saldırdığı önemli değildir. Royal, Black Basta veya diğerleri, potansiyel kurbanlar, bazı ayırt edici özellikleri paylaşan saldırıları engellemek için gerekli güvenlik önlemlerine sahip olacak," diyor Brandt. Bu yıl şimdiye kadar Royal fidye yazılımı, Sophos Incident Response tarafından tespit edilen en yaygın ikinci fidye yazılımı ailesi oldu.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.