0
0
Uma série de ataques de ransomware feitos por diferentes grupos compartilham características curiosamente semelhantes, de acordo com a Sophos.
A Sophos divulgou novas descobertas sobre as conexões entre os grupos de ransomware mais proeminentes no ano passado, incluindo Royal, em seu relatório Clustering Attacker Behavior Reveals Hidden Patterns .
Semelhanças distintas encontradas em ataques recentes de ransomware
Ao longo de três meses, começando em janeiro de 2023, a Sophos X-Ops investigou quatro ataques de ransomware diferentes, um envolvendo Hive, dois da Royal e um da Black Basta, e notou semelhanças distintas entre os ataques.
Apesar de Royal ser um grupo notoriamente fechado que não solicita abertamente afiliados de fóruns clandestinos, semelhanças granulares na análise forense dos ataques sugerem que todos os três grupos estão compartilhando afiliados ou detalhes técnicos altamente específicos de suas atividades. A Sophos está rastreando e monitorando os ataques como um “cluster de atividade de ameaça” que os defensores podem usar para acelerar a detecção e os tempos de resposta.
“Como o modelo de ransomware como serviço requer afiliados externos para realizar ataques, não é incomum que haja cruzamento nas táticas, técnicas e procedimentos (TTPs) entre esses diferentes grupos de ransomware. No entanto, nesses casos, as semelhanças de que estamos falando estão em um nível muito granular. Esses comportamentos únicos e altamente específicos sugerem que o grupo Royal ransomware é muito mais dependente de afiliados do que se pensava anteriormente. Os novos insights que obtivemos sobre o trabalho da Royal com afiliados e possíveis laços com outros grupos falam sobre o valor das investigações forenses aprofundadas da Sophos”, disse Andrew Brandt , pesquisador principal da Sophos.
Clusters de atividades de ameaças
As semelhanças exclusivas incluem o uso dos mesmos nomes de usuário e senhas específicos quando os invasores assumiram o controle dos sistemas dos alvos, entregando a carga útil final no arquivo .7z com o nome da organização da vítima e executando comandos nos sistemas infectados com os mesmos scripts e arquivos em lote.
A Sophos X-Ops conseguiu descobrir essas conexões após uma investigação de três meses sobre quatro ataques de ransomware. O primeiro ataque envolveu o ransomware Hive em janeiro de 2023. Isso foi seguido pelos ataques do Royals em fevereiro e março de 2023 e, posteriormente, em março, pelo Black Basta.
Perto do final de janeiro deste ano, uma grande parte da operação da Hive foi dissolvida após uma operação policial do FBI. Essa operação poderia ter levado as afiliadas da Hive a procurar um novo emprego — talvez na Royal e na Black Basta — o que explicaria as semelhanças nos ataques de ransomware que se seguiram.
Devido às semelhanças entre esses ataques, a Sophos X-Ops começou a rastrear todos os quatro incidentes de ransomware como um cluster de atividade de ameaça.
“Embora os clusters de atividades de ameaças possam ser um trampolim para a atribuição, quando os pesquisadores se concentram demais no ‘quem’ de um ataque, eles podem perder oportunidades críticas para fortalecer as defesas. Conhecer o comportamento altamente específico do invasor ajuda as equipes de detecção e resposta gerenciadas a reagir mais rapidamente a ataques ativos. Também ajuda os provedores de segurança a criar proteções mais fortes para os clientes. Quando as proteções são baseadas em comportamentos, não importa quem está atacando – Royal, Black Basta ou outro – as vítimas em potencial terão as medidas de segurança necessárias para bloquear ataques subsequentes que exibem algumas das mesmas características distintas ”, disse Brandt .
FONTE: HELP NET SECURITY