Sophos odhalil souvislosti mezi ransomwarovými skupinami Hive, Royal a Black Basta

15. 8. 2023. (redaktor: František Doupal, zdroj: Sophos)
Sophos zveřejnil nové informace o propojení nejvýznamnějších ransomwarových skupin působících během uplynulého roku, včetně skupiny Royal. V průběhu tří měsíců, počínaje lednem 2023, prověřil expertní tým Sophos X-Ops čtyři různé ransomwarové útoky – jeden provedený skupinou Hive, dva skupinou Royal a jeden skupinou Black Basta, a zaznamenal mezi nimi výrazné podobnosti.

Přestože je Royal notoricky uzavřenou skupinou, která se veřejně nesnaží získávat partnery z undergroundových fór, dílčí podobnosti ve forenzní analýze útoků naznačují, že všechny tři skupiny sdílejí buď partnery, nebo velmi specifické technické detaily svých aktivit. Sophos tyto útoky sleduje a monitoruje jako „shluky hrozeb“, které mohou obránci využít ke zrychlení detekce těchto útoků a reakce na ně.

„Vzhledem k tomu, že model poskytování ransomwaru formou služby vyžaduje k provádění útoků externí partnery, není neobvyklé, že se taktiky, techniky a postupy (TTP) mezi těmito ransomwarovými skupinami prolínají. V těchto případech ale mluvíme o podobnostech na velmi detailní úrovni. Toto vysoce specifické a jedinečné chování naznačuje, že ransomwarová skupina Royal je mnohem více závislá na partnerech, než se dříve předpokládalo. Nové poznatky, které jsme získali o práci skupiny Royal a jejích spolupracovnících, stejně jako o možných vazbách na další skupiny, vypovídají o hodnotě hloubkových forenzních šetření společnosti Sophos,“ řekl Andrew Brandt, hlavní výzkumník společnosti Sophos.

Mezi jedinečné podobnosti patří použití stejných specifických uživatelských jmen a hesel při převzetí systémů obětí útočníky, doručení dat finálního útoku v archivu typu .7z pojmenovaném podle organizace, která byla obětí útoku, a také spouštění příkazů na infikovaných systémech pomocí stejných dávkových skriptů a souborů.

Týmu Sophos X-Ops se podařilo tato spojení odhalit po tříměsíčním vyšetřování čtyř ransomwarových útoků. První útok provedla ransomwarová skupina Hive v lednu 2023. Následovaly útoky skupiny Royal v únoru a březnu 2023 a později v březnu útok skupiny Black Basta. Ke konci ledna letošního roku byla velká část skupiny Hive rozprášena v důsledku zásahu FBI. Tato operace mohla vést členy skupiny Hive k hledání nového zaměstnání – možná i ve skupinách Royal a Black Basta, což by vysvětlovalo podobnosti v následných ransomwarových útocích.

Vzhledem k podobnostem mezi těmito útoky začal tým Sophos X-Ops sledovat všechny čtyři ransomwarové incidenty jako shluk hrozeb.

„Zatímco shluky aktivit hrozeb mohou být odrazovým můstkem k identifikaci, pokud se výzkumníci příliš soustředí na to, kdo útok provedl, mohou propásnout kriticky důležité příležitosti k posílení obrany. Znalost vysoce specifického chování útočníků pomáhá týmům pro řízenou detekci a reakci rychleji reagovat na aktivní útoky. Současně pomáhá i poskytovatelům zabezpečení vytvářet silnější ochranu pro jejich zákazníky. Pokud je ochrana založena na chování, nezáleží na tom, kdo útočí – ať už Royal, Black Basta nebo někdo jiný – potenciální oběti budou mít k dispozici potřebná bezpečnostní opatření k zablokování následných útoků, které vykazují stejné charakteristické znaky,“ řekl Brandt. 

Další informace o těchto ransomwarových útocích najdete v článku „Podobné chování útočníků odhaluje skryté vzorce“.

Štítky: 
Bezpečnost, Kybernetické útoky, Ransomware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Platby výkupného za ransomware vzrostly za poslední rok na pětinásobek

10. 5. 2024. (redaktor: František Doupal, zdroj: Sophos)
Podle výroční zprávy State of Ransomware 2024 společnosti Sophos se průměrná výše výkupného za poslední rok zvýšila na pětinásobek. Organizace, které zaplatily výkupné, uvádějí průměrnou platbu ve výši dvou milionů dolarů, oproti 400 000 dolarů v průzkumu z roku 2023. Výkupné je ale pouze částí celkových nákladů. Čtěte více

Obavy o zabezpečení cloudů má 96 % firem

9. 5. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Neustálý vývoj a zavádění nových cloudových aplikací komplikuje zabezpečení podnikového IT. Podle průzkumu společnosti Fortinet například 96 % respondentů uvádí, že mají střední nebo velké obavy o cloudovou bezpečnost. Podle 93 % dotazovaných je vážným problémem zejména všeobecný nedostatek odborníků na zabezpečení cloudů. Čtěte více

Nový tým Esetu se zaměří na mezinárodní kyberkriminalitu

6. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Bezpečnostní experti z pražské pobočky ESETu se nově cíleně zaměří na mezinárodní aktivity kyberkriminálních útočných skupin. Nově vzniklý tým vedený Jakubem Součkem má za úkol aktivně vyhledávat a dlouhodobě monitorovat obávané útoky ransomwarem, který dle dat společnosti ESET posílil v minulém roce o více než 50 procent. Čtěte více

Třetina zaměstnanců v práci sdílí hesla, otevírá neznámé přílohy nebo jinak ohrožuje bezpečnost

3. 5. 2024. (redaktor: František Doupal, zdroj: Anect)
Třetina českých zaměstnanců porušuje zásady bezpečného chování na internetu a své zaměstnavatele tak vystavuje zvýšenému riziku online podvodu nebo hackerského útoku. Lidé například navzájem sdílejí přihlašovací údaje do firemních systémů, zasílají pracovní dokumenty soukromým e-mailem či přes sociální sítě nebo k práci využívají neschválené soukromé počítače či telefony. Čtěte více