Especialista em segurança Sophos publicou suas descobertas sobre as conexões entre Hive, Black Basta e Royal, os grupos de ransomware mais conhecidos do ano passado. A Sophos descobriu ligação entre os grupos de ransomware.
Sophos e a descoberta de ligação entre grupos de ransomware
Para o relatório “Clustering Attacker Behavior Reveals Hidden Patterns” (O comportamento do invasor em cluster revela padrões ocultos), a Sophos X-Ops investigou quatro ataques de ransomware diferentes durante um período de três meses a partir de janeiro de 2023, um dos quais remontava ao Hive, dois ao Royal e um ao Black Basta Sophos com.
Claras semelhanças entre os ataques foram encontradas, embora Royal seja considerado um grupo muito fechado que não envolve visivelmente nenhum parceiro de fóruns clandestinos. No entanto, semelhanças sutis foram descobertas na perícia dos ataques e, portanto, evidências que indicam que todos os três grupos compartilharam parceiros ou detalhes técnicos altamente específicos no curso de suas atividades, diz-se.
Em geral, como o modelo de ransomware como serviço requer parceiros externos para realizar os ataques, não é incomum que haja sobreposições de táticas, técnicas e procedimentos (TTPs) entre diferentes grupos de ransomware. Nesses casos, no entanto, as semelhanças estão em um nível muito sutil. Esses comportamentos altamente específicos sugerem que o grupo Royal ransomware é muito mais dependente de parceiros do que se pensava anteriormente.
Andrew Brandt, pesquisador sênior da Sophos
As semelhanças
As semelhanças específicas descobertas pela Sophos tinham três aspectos em particular: primeiro, se os invasores tivessem controle dos sistemas dos alvos, os mesmos nomes de usuário e senhas específicos seriam usados. Em segundo lugar, a carga final foi fornecida em um arquivo .7z, cada um com o nome da organização vítima. Em terceiro lugar, os comandos foram executados nos sistemas infectados usando os mesmos scripts e arquivos em lote, relata a Sophos.
Uma possível razão para as semelhanças pode ser o fato de que no final de janeiro de 2023, após uma operação secreta do FBI, grande parte das operações da Hive foi dissolvida. Isso pode ter levado os parceiros da Hive à procura de novos empregos (possivelmente com Royal e Black Basta) o que poderia explicar as correspondências marcantes encontradas em ataques de ransomware subsequentes.
Até agora neste ano, o ransomware Royal é a segunda família de ransomware mais comum detectada pelo Sophos Incident Response, de acordo com o provedor de segurança. Novos relatórios devem revelar mais informações no futuro.