Sophos odhalil souvislosti mezi ransomwarovými skupinami Hive, Royal a Black Basta

15. 8. 2023. (redaktor: František Doupal, zdroj: Sophos)
Sophos zveřejnil nové informace o propojení nejvýznamnějších ransomwarových skupin působících během uplynulého roku, včetně skupiny Royal. V průběhu tří měsíců, počínaje lednem 2023, prověřil expertní tým Sophos X-Ops čtyři různé ransomwarové útoky – jeden provedený skupinou Hive, dva skupinou Royal a jeden skupinou Black Basta, a zaznamenal mezi nimi výrazné podobnosti.

Přestože je Royal notoricky uzavřenou skupinou, která se veřejně nesnaží získávat partnery z undergroundových fór, dílčí podobnosti ve forenzní analýze útoků naznačují, že všechny tři skupiny sdílejí buď partnery, nebo velmi specifické technické detaily svých aktivit. Sophos tyto útoky sleduje a monitoruje jako „shluky hrozeb“, které mohou obránci využít ke zrychlení detekce těchto útoků a reakce na ně.

„Vzhledem k tomu, že model poskytování ransomwaru formou služby vyžaduje k provádění útoků externí partnery, není neobvyklé, že se taktiky, techniky a postupy (TTP) mezi těmito ransomwarovými skupinami prolínají. V těchto případech ale mluvíme o podobnostech na velmi detailní úrovni. Toto vysoce specifické a jedinečné chování naznačuje, že ransomwarová skupina Royal je mnohem více závislá na partnerech, než se dříve předpokládalo. Nové poznatky, které jsme získali o práci skupiny Royal a jejích spolupracovnících, stejně jako o možných vazbách na další skupiny, vypovídají o hodnotě hloubkových forenzních šetření společnosti Sophos,“ řekl Andrew Brandt, hlavní výzkumník společnosti Sophos.

Mezi jedinečné podobnosti patří použití stejných specifických uživatelských jmen a hesel při převzetí systémů obětí útočníky, doručení dat finálního útoku v archivu typu .7z pojmenovaném podle organizace, která byla obětí útoku, a také spouštění příkazů na infikovaných systémech pomocí stejných dávkových skriptů a souborů.

Týmu Sophos X-Ops se podařilo tato spojení odhalit po tříměsíčním vyšetřování čtyř ransomwarových útoků. První útok provedla ransomwarová skupina Hive v lednu 2023. Následovaly útoky skupiny Royal v únoru a březnu 2023 a později v březnu útok skupiny Black Basta. Ke konci ledna letošního roku byla velká část skupiny Hive rozprášena v důsledku zásahu FBI. Tato operace mohla vést členy skupiny Hive k hledání nového zaměstnání – možná i ve skupinách Royal a Black Basta, což by vysvětlovalo podobnosti v následných ransomwarových útocích.

Vzhledem k podobnostem mezi těmito útoky začal tým Sophos X-Ops sledovat všechny čtyři ransomwarové incidenty jako shluk hrozeb.

„Zatímco shluky aktivit hrozeb mohou být odrazovým můstkem k identifikaci, pokud se výzkumníci příliš soustředí na to, kdo útok provedl, mohou propásnout kriticky důležité příležitosti k posílení obrany. Znalost vysoce specifického chování útočníků pomáhá týmům pro řízenou detekci a reakci rychleji reagovat na aktivní útoky. Současně pomáhá i poskytovatelům zabezpečení vytvářet silnější ochranu pro jejich zákazníky. Pokud je ochrana založena na chování, nezáleží na tom, kdo útočí – ať už Royal, Black Basta nebo někdo jiný – potenciální oběti budou mít k dispozici potřebná bezpečnostní opatření k zablokování následných útoků, které vykazují stejné charakteristické znaky,“ řekl Brandt. 

Další informace o těchto ransomwarových útocích najdete v článku „Podobné chování útočníků odhaluje skryté vzorce“.

Štítky: 
Bezpečnost, Kybernetické útoky, Ransomware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Foto: Algotech

Tržby z prodeje bezpečnostních produktů vloni vzrostly o 15,6 %

8. 7. 2024. (redaktor: František Doupal, zdroj: IDC)
Celosvětové tržby za bezpečnostní produkty dosáhly v roce 2023 celkem 106,8 miliardy dolarů, což představuje nárůst o 15,6 % oproti roku 2022. Růst tržeb byl výrazný – podle IDC zaznamenalo dvouciferný meziroční nárůst všech šest sledovaných kategorií. Růst by měl navíc pokračovat přinejmenším do roku 2028. Čtěte více

Kyberútoky jsou propojené s nedostatkem dovedností

25. 7. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Společnost Fortinet ve své výroční zprávě upozorňuje na přetrvávající problémy spojené s nedostatkem dovedností v oblasti kybernetické bezpečnosti. Z výzkumu vyplývá, že téměř 90 % organizací zaznamenalo v posledním roce napadení, které bylo částečně způsobeno nedostatkem personálu s potřebnými dovednostmi. Čtěte více

Progress vylepšil webový aplikační firewall v LoadMaster 360

23. 7. 2024. (redaktor: František Doupal, zdroj: Progress )
Progress představil nové funkce ve své cloudové platformě pro doručování aplikacíProgress LoadMaster 360. Vylepšení pomáhají firmám chránit jejich webové aplikace před kybernetickými útoky a poskytují zákazníkům optimální zkušenosti s aplikacemi. Čtěte více

Hrozby pro macOS: Škodlivá reklama si hledá cesty do zařízení přes napodobeniny přehrávačů

22. 7. 2024. (redaktor: František Doupal, zdroj: ESET)
Uživatelé a uživatelky počítačů Apple mohli ve druhém kvartálu 2024 narazit na řadu napodobenin aplikací a nástrojů, které ukrývaly malware. V čele statistiky nejčastějších hrozeb pro platformu macOS v Česku a na Slovensku zůstávaly i v období od dubna do června 2024 adware Pirrit, downloader Adload a škodlivý kód PSW.Agent, který se řadí mezi tzv. infostealery. Čtěte více