Des attaques récentes laissent penser que ces trois groupes ont des stratégies ou des affiliés en commun

Paris, France — août 8, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie de nouvelles découvertes concernant des liens entre les groupes de ransomwares les plus en vue l’an passé, notamment celui dénommé Royal, dans son étude intitulée Clustering Attacker Behavior Reveals Hidden Patterns. Au cours des trois mois écoulés depuis début janvier 2023, Sophos X-Ops a enquêté sur quatre attaques de ransomwares différentes, dont une imputable au groupe Hive, deux à Royal et la dernière à Black Basta, observant entre elles des similitudes distinctives. Bien que Royal soit réputé être un groupe fermé qui ne recrute pas ouvertement des affiliés sur les forums clandestins, de subtils points communs révélés par l’investigation des attaques laissent penser que ces trois groupes partagent des affiliés ou bien des détails techniques très spécifiques de leurs activités. Sophos suit et surveille ces attaques en tant que « cluster d’activités malveillantes » auquel les cyberdéfenseurs peuvent se référer pour accélérer la détection des menaces et raccourcir leurs temps de réponse. 

« Étant donné que le modèle de Ransomware-as-a-Service nécessite des affiliés extérieurs pour l’exécution des attaques, il n’est pas rare qu’il se produise des croisements entre les tactiques, techniques et procédures (TTP) de ces différents groupes de ransomwares. Cependant, en l’occurrence, les similitudes dont nous parlons se trouvent à un niveau très granulaire. Ces comportements extrêmement spécifiques laissent penser que le groupe Royal fait beaucoup plus appel à des affiliés que nous le pensions jusque-là. Les nouvelles indications que nous avons recueillies sur le travail de Royal auprès d’affiliés et ses possibles liens avec d’autres groupes attestent de la valeur des investigations forensiques approfondies de Sophos », commente Andrew Brandt, chercheur principal chez Sophos. 

Les similitudes distinctives sont notamment l’utilisation des mêmes noms d’utilisateurs et mots de passe spécifiques lorsque les auteurs des attaques prennent le contrôle des systèmes cibles, la diffusion de la charge malveillante dans une archive .7z portant le nom de la victime ou encore l’exécution de commandes sur les systèmes infectés au moyen de fichiers et de scripts batch identiques. 

Sophos X-Ops est parvenu à mettre au jour ces liens à la suite d’une enquête de trois mois portant sur quatre attaques de ransomwares. La première attaque était le fait du groupe Hive en janvier 2023. Elle a été suivie d’attaques lancées par Royal en février et mars 2023 et, toujours en mars, d’une autre provenant de Black Basta. Vers la fin janvier de cette année, une grande partie de l’opération Hive a été démantelée par une intervention « sting » du FBI. Il est possible que cela ait amené des affiliés de Hive à chercher un nouvel employeur – peut-être du côté de Royal et Black Basta – ce qui expliquerait les similitudes relevées dans les attaques de ransomwares ultérieures.

En raison des similitudes entre ces attaques, Sophos X-Ops a commencé à procéder au suivi des quatre incidents de ransomwares comme formant un cluster d’activités malveillantes.

« Alors que les clusters d’activités malveillantes peuvent constituer un pas vers l’attribution, les chercheurs qui se focalisent trop sur l’auteur d’une attaque risquent de laisser passer des opportunités critiques de renforcer leurs défenses. La connaissance du comportement très spécifique des cyberattaquants aide les équipes de détection et de réponse managées à réagir plus rapidement aux attaques actives. Elle permet également aux prestataires de sécurité de mettre en place des protections plus robustes pour leurs clients. Lorsque ces protections reposent sur des comportements, peu importe qui mène l’attaque, que ce soit Royal, Black Basta ou un autre groupe : les victimes potentielles disposeront des mesures de sécurité nécessaires pour bloquer des attaques ultérieures présentant certaines caractéristiques distinctives identiques », conclut Andrew Brandt. 

De plus amples informations sur ces attaques de ransomwares sont disponibles dans l’article Clustering Attacker Behavior Reveals Hidden Patterns.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents (IR), ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.