Sophos odhalil souvislosti mezi ransomwarovými skupinami Hive, Royal a Black Basta

15. 8. 2023. (redaktor: František Doupal, zdroj: Sophos)
Sophos zveřejnil nové informace o propojení nejvýznamnějších ransomwarových skupin působících během uplynulého roku, včetně skupiny Royal. V průběhu tří měsíců, počínaje lednem 2023, prověřil expertní tým Sophos X-Ops čtyři různé ransomwarové útoky – jeden provedený skupinou Hive, dva skupinou Royal a jeden skupinou Black Basta, a zaznamenal mezi nimi výrazné podobnosti.

Přestože je Royal notoricky uzavřenou skupinou, která se veřejně nesnaží získávat partnery z undergroundových fór, dílčí podobnosti ve forenzní analýze útoků naznačují, že všechny tři skupiny sdílejí buď partnery, nebo velmi specifické technické detaily svých aktivit. Sophos tyto útoky sleduje a monitoruje jako „shluky hrozeb“, které mohou obránci využít ke zrychlení detekce těchto útoků a reakce na ně.

„Vzhledem k tomu, že model poskytování ransomwaru formou služby vyžaduje k provádění útoků externí partnery, není neobvyklé, že se taktiky, techniky a postupy (TTP) mezi těmito ransomwarovými skupinami prolínají. V těchto případech ale mluvíme o podobnostech na velmi detailní úrovni. Toto vysoce specifické a jedinečné chování naznačuje, že ransomwarová skupina Royal je mnohem více závislá na partnerech, než se dříve předpokládalo. Nové poznatky, které jsme získali o práci skupiny Royal a jejích spolupracovnících, stejně jako o možných vazbách na další skupiny, vypovídají o hodnotě hloubkových forenzních šetření společnosti Sophos,“ řekl Andrew Brandt, hlavní výzkumník společnosti Sophos.

Mezi jedinečné podobnosti patří použití stejných specifických uživatelských jmen a hesel při převzetí systémů obětí útočníky, doručení dat finálního útoku v archivu typu .7z pojmenovaném podle organizace, která byla obětí útoku, a také spouštění příkazů na infikovaných systémech pomocí stejných dávkových skriptů a souborů.

Týmu Sophos X-Ops se podařilo tato spojení odhalit po tříměsíčním vyšetřování čtyř ransomwarových útoků. První útok provedla ransomwarová skupina Hive v lednu 2023. Následovaly útoky skupiny Royal v únoru a březnu 2023 a později v březnu útok skupiny Black Basta. Ke konci ledna letošního roku byla velká část skupiny Hive rozprášena v důsledku zásahu FBI. Tato operace mohla vést členy skupiny Hive k hledání nového zaměstnání – možná i ve skupinách Royal a Black Basta, což by vysvětlovalo podobnosti v následných ransomwarových útocích.

Vzhledem k podobnostem mezi těmito útoky začal tým Sophos X-Ops sledovat všechny čtyři ransomwarové incidenty jako shluk hrozeb.

„Zatímco shluky aktivit hrozeb mohou být odrazovým můstkem k identifikaci, pokud se výzkumníci příliš soustředí na to, kdo útok provedl, mohou propásnout kriticky důležité příležitosti k posílení obrany. Znalost vysoce specifického chování útočníků pomáhá týmům pro řízenou detekci a reakci rychleji reagovat na aktivní útoky. Současně pomáhá i poskytovatelům zabezpečení vytvářet silnější ochranu pro jejich zákazníky. Pokud je ochrana založena na chování, nezáleží na tom, kdo útočí – ať už Royal, Black Basta nebo někdo jiný – potenciální oběti budou mít k dispozici potřebná bezpečnostní opatření k zablokování následných útoků, které vykazují stejné charakteristické znaky,“ řekl Brandt. 

Další informace o těchto ransomwarových útocích najdete v článku „Podobné chování útočníků odhaluje skryté vzorce“.

Štítky: 
Bezpečnost, Kybernetické útoky, Ransomware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více