Sophos je prošle godine objavio nova otkrića o vezama između najistaknutijih grupa ransomware-a, uključujući Royal, u svom izvještaju Clustering Attacker Behavior Reveals Hidden Patterns .
Izrazite sličnosti pronađene u nedavnim ransomware napadima
Tokom tri mjeseca, počevši od januara 2023. godine, Sophos X-Ops je istraživao četiri različita napada ransomware-a, jedan koji je uključivao Hive, dva Royala i jedan Black Basta, i uočio različite sličnosti između napada.
Uprkos tome što je Royal poznata zatvorena grupa koja otvoreno ne traži podružnice sa podzemnih foruma, granularne sličnosti u forenzici napada ukazuju na to da sve tri grupe dijele ili podružnice ili vrlo specifične tehničke detalje svojih aktivnosti. Sophos prati i nadgleda napade kao „klaster aktivnosti prijetnji“ koju branioci mogu koristiti da ubrzaju vrijeme otkrivanja i odgovora.
“Budući da model ransomware-as-a-service zahtijeva od vanjskih podružnica da izvode napade, nije neuobičajeno da dođe do ukrštanja u taktikama, tehnikama i procedurama (TTP) između ovih različitih ransomware grupa. Međutim, u ovim slučajevima, sličnosti o kojima govorimo su na vrlo granularnom nivou. Ova vrlo specifična, jedinstvena ponašanja sugerišu da se Royal ransomware grupa mnogo više oslanja na podružnice nego što se ranije mislilo. Novi uvidi koje smo stekli o Royal-ovom radu sa podružnicama i mogućim vezama s drugim grupama govore o vrijednosti Sophos-ovih dubinskih, forenzičkih istraživanja,” rekao je Andrew Brandt, glavni istraživač, Sophos .
Klasteri aktivnosti prijetnji
Jedinstvene sličnosti uključuju korištenje istih specifičnih korisničkih imena i lozinki kada su napadači preuzeli sisteme na ciljevima, isporuku konačnog korisnog opterećenja u .7z arhivi nazvanoj po organizaciji žrtve, i izvršavanje komandi na zaraženim sistemima sa istim paketnim skriptama i datotekama.
Sophos X-Ops je uspio otkriti ove veze nakon tromjesečne istrage o četiri ransomware napada. Prvi napad uključivao je Hive ransomware u januaru 2023. Nakon toga su uslijedili napadi Royalsa u februaru i martu 2023., a kasnije, u martu, napadi Black Basta.
Krajem januara ove godine, veliki dio Hiveove operacije je raspušten nakon operacije FBI-a. Ova operacija je mogla navesti podružnice Hive-a da potraže novi posao – možda u Royal i Black Basta – što bi objasnilo sličnosti u napadima ransomwarea koji su uslijedili.
Zbog sličnosti između ovih napada, Sophos X-Ops je počeo pratiti sva četiri ransomware incidenta kao klaster prijetnji.
“Dok klasteri aktivnosti prijetnji mogu biti odskočna daska za pripisivanje, kada se istraživači previše fokusiraju na ‘ko’ napada, tada mogu propustiti kritične prilike za jačanje odbrane. Poznavanje vrlo specifičnog ponašanja hakera pomaže timovima za kontrolisano otkrivanje i odgovor da brže reaguju na aktivne napade. Takođe pomaže dobavljačima sigurnosti da kreiraju jaču zaštitu za kupce. Kada je zaštita zasnovana na ponašanju, nije važno ko napada – Royal, Black Basta ili na neki drugi način – potencijalne žrtve će imati potrebne sigurnosne mjere kako bi blokirale naknadne napade koji pokazuju neke od istih karakteristika”, rekao je Brandt.
Izvor: Help Net Security
