У своєму звіті Clustering Attacker Behavior Reveals Hidden Patterns Sophos публікує нові відомості про зв’язки між найвідомішими групами програм-вимагачів минулого року: Hive, Black Basta та Royal. Останні атаки свідчать про те, що три групи програм-вимагачів мають спільні підручники або партнерів.
Станом на січень 2023 року Sophos X-Ops протягом трьох місяців досліджувала чотири різні атаки програм-вимагачів: одна була з Hive, дві — Royal і одна — Black Basta. Було виявлено явну схожість між нападами.
Хоча Royal вважається дуже закритою групою, яка явно не залучає партнерів з підпільних форумів, тонка схожість у криміналістиці атак свідчить про те, що всі три групи мають спільних партнерів або дуже специфічні технічні деталі у своїй діяльності. Sophos відстежує та контролює атаки як «кластер загрозливої активності», який захисники можуть використовувати для скорочення часу виявлення та відповіді.
Співпраця груп програм-вимагачів
🔎 Перше виявлення поведінки кластера активності загроз було в журналах, зібраних під час атаки програм-вимагачів Hive (Зображення: Sophos).
«Загалом, оскільки модель програми-вимагача як послуга вимагає зовнішніх партнерів для виконання атак, нерідкі випадки збігів у тактиках, техніках і процедурах (TTP) між різними групами програм-вимагачів. Однак у цих випадках схожість знаходиться на дуже тонкому рівні. Ці надзвичайно специфічні поведінки свідчать про те, що Королівська група програм-вимагачів набагато більше залежить від партнерів, ніж вважалося раніше», — каже Ендрю Брандт, старший науковий співробітник Sophos.
Конкретні подібності включають, зокрема, такі три аспекти: по-перше, якщо зловмисники взяли під контроль системи цілей, використовувалися ті самі конкретні імена користувачів і паролі. По-друге, остаточне корисне навантаження було надано в архіві .7z, кожен з яких названо на честь організації-жертви. По-третє, команди запускалися в заражених системах за допомогою одних і тих же пакетних сценаріїв і файлів.
Використання ідентичних скриптів
Sophos X-Ops вдалося виявити ці зв’язки в рамках розслідування чотирьох атак програм-вимагачів, які мали місце протягом трьох місяців. Перша атака відбулася в січні 2023 року за допомогою програми-вимагача Hive. За цим послідували дві атаки Королівської групи в лютому та березні та, нарешті, одна атака, здійснена Чорним Бастою в березні цього року.
Можливою причиною схожості спостережуваних атак програм-вимагачів може бути той факт, що наприкінці січня 2023 року, після таємної операції ФБР, значна частина операцій Hive була демонтована. Це могло призвести до того, що партнери Hive шукали нову роботу — можливо, у Royal і Black Basta — що могло пояснити яскраві збіги, виявлені під час наступних атак програм-вимагачів. Через ці подібності Sophos X-Ops почала відстежувати всі чотири інциденти програм-вимагачів як кластер загроз.
Кластеризація загроз
«Якщо першими кроками кластеризації активності загроз є відображення груп, існує ризик того, що дослідники надто зосередяться на тому, хто атакує, і не помітять важливі можливості для посилення захисту. Знання особливостей поведінки зловмисників допомагає командам керованого виявлення та реагування (MDR) швидше реагувати на активні атаки. Це також допомагає постачальникам засобів безпеки розробити надійніший захист для клієнтів. І коли захист заснований на поведінці, неважливо, хто атакує. Незалежно від того, чи це Royal, Black Basta чи інші, потенційні жертви матимуть необхідні засоби захисту, щоб блокувати атаки, які мають деякі відмінні характеристики», — каже Брандт. Поки що цього року програми-вимагачі Royal є другою за поширеністю сімейством програм-вимагачів, виявлених Sophos Incident Response.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.