Sophos odhalil souvislosti mezi ransomwarovými skupinami Hive, Royal a Black Basta

15. 8. 2023. (redaktor: František Doupal, zdroj: Sophos)
Sophos zveřejnil nové informace o propojení nejvýznamnějších ransomwarových skupin působících během uplynulého roku, včetně skupiny Royal. V průběhu tří měsíců, počínaje lednem 2023, prověřil expertní tým Sophos X-Ops čtyři různé ransomwarové útoky – jeden provedený skupinou Hive, dva skupinou Royal a jeden skupinou Black Basta, a zaznamenal mezi nimi výrazné podobnosti.

Přestože je Royal notoricky uzavřenou skupinou, která se veřejně nesnaží získávat partnery z undergroundových fór, dílčí podobnosti ve forenzní analýze útoků naznačují, že všechny tři skupiny sdílejí buď partnery, nebo velmi specifické technické detaily svých aktivit. Sophos tyto útoky sleduje a monitoruje jako „shluky hrozeb“, které mohou obránci využít ke zrychlení detekce těchto útoků a reakce na ně.

„Vzhledem k tomu, že model poskytování ransomwaru formou služby vyžaduje k provádění útoků externí partnery, není neobvyklé, že se taktiky, techniky a postupy (TTP) mezi těmito ransomwarovými skupinami prolínají. V těchto případech ale mluvíme o podobnostech na velmi detailní úrovni. Toto vysoce specifické a jedinečné chování naznačuje, že ransomwarová skupina Royal je mnohem více závislá na partnerech, než se dříve předpokládalo. Nové poznatky, které jsme získali o práci skupiny Royal a jejích spolupracovnících, stejně jako o možných vazbách na další skupiny, vypovídají o hodnotě hloubkových forenzních šetření společnosti Sophos,“ řekl Andrew Brandt, hlavní výzkumník společnosti Sophos.

Mezi jedinečné podobnosti patří použití stejných specifických uživatelských jmen a hesel při převzetí systémů obětí útočníky, doručení dat finálního útoku v archivu typu .7z pojmenovaném podle organizace, která byla obětí útoku, a také spouštění příkazů na infikovaných systémech pomocí stejných dávkových skriptů a souborů.

Týmu Sophos X-Ops se podařilo tato spojení odhalit po tříměsíčním vyšetřování čtyř ransomwarových útoků. První útok provedla ransomwarová skupina Hive v lednu 2023. Následovaly útoky skupiny Royal v únoru a březnu 2023 a později v březnu útok skupiny Black Basta. Ke konci ledna letošního roku byla velká část skupiny Hive rozprášena v důsledku zásahu FBI. Tato operace mohla vést členy skupiny Hive k hledání nového zaměstnání – možná i ve skupinách Royal a Black Basta, což by vysvětlovalo podobnosti v následných ransomwarových útocích.

Vzhledem k podobnostem mezi těmito útoky začal tým Sophos X-Ops sledovat všechny čtyři ransomwarové incidenty jako shluk hrozeb.

„Zatímco shluky aktivit hrozeb mohou být odrazovým můstkem k identifikaci, pokud se výzkumníci příliš soustředí na to, kdo útok provedl, mohou propásnout kriticky důležité příležitosti k posílení obrany. Znalost vysoce specifického chování útočníků pomáhá týmům pro řízenou detekci a reakci rychleji reagovat na aktivní útoky. Současně pomáhá i poskytovatelům zabezpečení vytvářet silnější ochranu pro jejich zákazníky. Pokud je ochrana založena na chování, nezáleží na tom, kdo útočí – ať už Royal, Black Basta nebo někdo jiný – potenciální oběti budou mít k dispozici potřebná bezpečnostní opatření k zablokování následných útoků, které vykazují stejné charakteristické znaky,“ řekl Brandt. 

Další informace o těchto ransomwarových útocích najdete v článku „Podobné chování útočníků odhaluje skryté vzorce“.

Podobné články

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více
Foto: Algotech

Tržby z prodeje bezpečnostních produktů vloni vzrostly o 15,6 %

8. 7. 2024. (redaktor: František Doupal, zdroj: IDC)
Celosvětové tržby za bezpečnostní produkty dosáhly v roce 2023 celkem 106,8 miliardy dolarů, což představuje nárůst o 15,6 % oproti roku 2022. Růst tržeb byl výrazný – podle IDC zaznamenalo dvouciferný meziroční nárůst všech šest sledovaných kategorií. Růst by měl navíc pokračovat přinejmenším do roku 2028. Čtěte více

Požadavky NIS 2 nyní splňuje jen osm procent českých firem

10. 10. 2024. (redaktor: František Doupal, zdroj: Acronis)
Společnost Acronis představila výsledky dotazování mezi svými partnery a zákazníky zaměřeného na implementaci směrnice NIS 2. Dle odpovědí respondentů splňuje požadavky směrnice jen osm českých organizací, přičemž další 41 % na jejím zavedení pracuje. Čtěte více