Sophos odhalil souvislosti mezi ransomwarovými skupinami Hive, Royal a Black Basta

15. 8. 2023. (redaktor: František Doupal, zdroj: Sophos)
Sophos zveřejnil nové informace o propojení nejvýznamnějších ransomwarových skupin působících během uplynulého roku, včetně skupiny Royal. V průběhu tří měsíců, počínaje lednem 2023, prověřil expertní tým Sophos X-Ops čtyři různé ransomwarové útoky – jeden provedený skupinou Hive, dva skupinou Royal a jeden skupinou Black Basta, a zaznamenal mezi nimi výrazné podobnosti.

Přestože je Royal notoricky uzavřenou skupinou, která se veřejně nesnaží získávat partnery z undergroundových fór, dílčí podobnosti ve forenzní analýze útoků naznačují, že všechny tři skupiny sdílejí buď partnery, nebo velmi specifické technické detaily svých aktivit. Sophos tyto útoky sleduje a monitoruje jako „shluky hrozeb“, které mohou obránci využít ke zrychlení detekce těchto útoků a reakce na ně.

„Vzhledem k tomu, že model poskytování ransomwaru formou služby vyžaduje k provádění útoků externí partnery, není neobvyklé, že se taktiky, techniky a postupy (TTP) mezi těmito ransomwarovými skupinami prolínají. V těchto případech ale mluvíme o podobnostech na velmi detailní úrovni. Toto vysoce specifické a jedinečné chování naznačuje, že ransomwarová skupina Royal je mnohem více závislá na partnerech, než se dříve předpokládalo. Nové poznatky, které jsme získali o práci skupiny Royal a jejích spolupracovnících, stejně jako o možných vazbách na další skupiny, vypovídají o hodnotě hloubkových forenzních šetření společnosti Sophos,“ řekl Andrew Brandt, hlavní výzkumník společnosti Sophos.

Mezi jedinečné podobnosti patří použití stejných specifických uživatelských jmen a hesel při převzetí systémů obětí útočníky, doručení dat finálního útoku v archivu typu .7z pojmenovaném podle organizace, která byla obětí útoku, a také spouštění příkazů na infikovaných systémech pomocí stejných dávkových skriptů a souborů.

Týmu Sophos X-Ops se podařilo tato spojení odhalit po tříměsíčním vyšetřování čtyř ransomwarových útoků. První útok provedla ransomwarová skupina Hive v lednu 2023. Následovaly útoky skupiny Royal v únoru a březnu 2023 a později v březnu útok skupiny Black Basta. Ke konci ledna letošního roku byla velká část skupiny Hive rozprášena v důsledku zásahu FBI. Tato operace mohla vést členy skupiny Hive k hledání nového zaměstnání – možná i ve skupinách Royal a Black Basta, což by vysvětlovalo podobnosti v následných ransomwarových útocích.

Vzhledem k podobnostem mezi těmito útoky začal tým Sophos X-Ops sledovat všechny čtyři ransomwarové incidenty jako shluk hrozeb.

„Zatímco shluky aktivit hrozeb mohou být odrazovým můstkem k identifikaci, pokud se výzkumníci příliš soustředí na to, kdo útok provedl, mohou propásnout kriticky důležité příležitosti k posílení obrany. Znalost vysoce specifického chování útočníků pomáhá týmům pro řízenou detekci a reakci rychleji reagovat na aktivní útoky. Současně pomáhá i poskytovatelům zabezpečení vytvářet silnější ochranu pro jejich zákazníky. Pokud je ochrana založena na chování, nezáleží na tom, kdo útočí – ať už Royal, Black Basta nebo někdo jiný – potenciální oběti budou mít k dispozici potřebná bezpečnostní opatření k zablokování následných útoků, které vykazují stejné charakteristické znaky,“ řekl Brandt. 

Další informace o těchto ransomwarových útocích najdete v článku „Podobné chování útočníků odhaluje skryté vzorce“.

Štítky: 
Bezpečnost, Kybernetické útoky, Ransomware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Vliv bezpečnostních řešení na pojistné události v kyberbezpečnosti

4. 4. 2025. (redaktor: František Doupal, zdroj: Sophos)
Z průzkumu společnosti Sophos vyplývá, že hodnota pojistného plnění z kybernetického pojištění, které uplatňují organizace využívající služby MDR, je v průměru o 97,5 % nižší než u organizací, které se spoléhají pouze na ochranu koncových bodů. Čtěte více

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více