Sophos revela novas ligações entre os grupos de ransomware Hive, Royal e Black Basta

Sophos revela novas ligações entre os grupos de ransomware Hive, Royal e Black Basta

· Ataques recentes sugerem que os três grupos de ransomware estão a partilhar playbooks ou os próprios membros.

A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, divulgou novas descobertas sobre as ligações entre os grupos de ransomware mais proeminentes no ano passado, incluindo o Royal, no seu relatório "Clustering Attacker Behavior Reveals Hidden Patterns". A partir de janeiro de 2023, e ao longo de três meses, a equipa Sophos X-Ops investigou quatro ataques de ransomware diferentes – um do grupo Hive, dois do Royal e um do Black Basta – e notou semelhanças claras entre eles. Apesar de o Royal ser um grupo notoriamente fechado que não procura membros abertamente em fóruns clandestinos, as semelhanças granulares na análise forense dos ataques sugerem que os três grupos estão a partilhar membros ou detalhes técnicos altamente específicos das suas atividades. A Sophos está a seguir e a monitorizar os ataques como um "cluster de atividades relacionadas com ameaças" para ajudar as equipas de defesa a acelerar a deteção e os tempos de resposta.

"Uma vez que o modelo de ransomware-as-a-service requer afiliados externos para levar a cabo os ataques, não é invulgar que haja cruzamento de táticas, técnicas e procedimentos (TTPs) entre os diferentes grupos de ransomware. No entanto, nestes casos que mencionamos, as semelhanças são a um nível muito granular. Estes comportamentos únicos e altamente específicos sugerem que o grupo de ransomware Royal depende muito mais de afiliados do que se pensava até agora. Os novos conhecimentos que obtivemos sobre o trabalho do Royal com afiliados e as possíveis ligações a outros grupos demonstram o valor das investigações forenses aprofundadas da Sophos," disse Andrew Brandt, Principal Researcher da Sophos.

As semelhanças únicas incluem a utilização dos mesmos nomes de utilizador e palavras-passe específicos quando os atacantes assumiram o controlo dos sistemas das vítimas, entregando a carga útil (payload) final num arquivo .7z com o nome da organização atacada e executando comandos nos sistemas infetados com os mesmos lotes de scripts e ficheiros.

A Sophos X-Ops conseguiu descobrir estas ligações após uma investigação de três meses a quatro ataques de ransomware. O primeiro envolveu o ransomware Hive, em janeiro de 2023, seguindo-se dois ataques do Royal em fevereiro e março e depois, também em março, um do Black Basta. No final de janeiro, uma grande parte das operações do Hive foi desmantelada na sequência de uma operação do FBI. Isso pode ter levado os afiliados do Hive a procurar um novo emprego – talvez junto do Royal e do Black Basta –, o que explicaria as semelhanças nos ataques de ransomware subsequentes.

Devido às semelhanças entre estes ataques, a equipa Sophos X-Ops começou a seguir os quatro incidentes de ransomware como um cluster de atividades de ameaças. “Embora os clusters de atividade de ameaças possam ser um ponto de partida para a identificação dos autores dos ataques, quando os investigadores se focam demasiado nos responsáveis podem perder oportunidades críticas para reforçar as defesas. Entender o comportamento altamente específico dos atacantes ajuda as equipas de deteção e resposta a reagir mais rapidamente aos ataques ativos, e também ajuda os fornecedores de segurança a criar proteções mais sólidas para os clientes. Quando as defesas se baseiam em comportamentos, não importa quem está a atacar – Royal, Black Basta ou outro –, pois as potenciais vítimas contarão com as medidas de segurança necessárias para bloquear ataques subsequentes que apresentem algumas das mesmas características distintivas," afirmou Andrew Brandt