Ataques recentes apontam que os três grupos estão compartilhando manuais dos crimes ou afiliados externos

OXFORD, U.K. — Agosto 8, 2023 —

A Sophos, líder global em inovação e fornecimento de cibersegurança como serviço, divulgou o relatório “Clustering attacker behavior reveals hidden patterns”, que traz novas descobertas sobre as conexões entre três dos grupos de ransomware que ficaram conhecidos em 2022: Hive, Royal e Black Basta. Ao longo de três meses, começando em janeiro deste ano, a equipe do Sophos X-Ops, unidade multioperacional da companhia, investigou quatro ataques de ransomware diferentes, sendo um do Hive, dois do Royal e um do Black Basta e, por meio da análise, notou semelhanças distintas entre os ataques.

Apesar do Royal ser um grupo fechado e que não recruta afiliados de fóruns clandestinos, alguns padrões vistos na análise forense sugerem que os três grupos têm compartilhado membros ou detalhes específicos de suas atividades. A Sophos está rastreando e monitorando esses casos como um cluster de atividades de ameaça — o termo "cluster" é usado para denominar uma arquitetura de sistema capaz de combinar vários computadores para trabalharem em conjunto — que pode ser usado por defensores para para acelerar a detecção de ataques e os tempos de resposta a incidentes.

“Como o modelo de ransomware como serviço requer afiliados externos para realizar ataques, não é incomum que haja cruzamento nas táticas, técnicas e procedimentos (TTPs) entre diferentes grupos. No entanto, nesses casos, as semelhanças das quais falamos estão em um nível quase imperceptível. Esses comportamentos únicos e específicos sugerem que o Royal é muito mais dependente de afiliados do que se pensava. Os novos insights que obtivemos sobre o trabalho deste grupo com afiliados e possíveis laços com outros destacam o valor das investigações forenses da Sophos”, explica Andrew Brandt, principal pesquisador da Sophos.

As semelhanças exclusivas incluem o uso dos mesmos nomes de usuário e senhas específicas no momento em que os invasores assumem o controle dos sistemas dos alvos, entregando a carga útil final em um arquivo .7z — dados compactados que foram incorporados com algoritmos Lempel-Ziv-Markov (LZMA) — com o nome da organização da vítima e executando comandos nos sistemas infectados com os mesmos lotes de scripts e arquivos.

O time do Sophos X-Ops descobriu essas conexões após uma investigação de três meses sobre quatro ataques de ransomware. O primeiro deles envolveu o Hive, em janeiro de 2023. Em seguida, aconteceram os do Royal, em fevereiro e março de 2023 e, posteriormente, também em março, o do Black Basta. Perto do final de janeiro, uma grande parte da operação do Hive foi dissolvida após uma operação policial do FBI. Essa atividade pode ter levado os afiliados do Hive a procurar por novos empregos — talvez até no Royal ou Black Basta — o que poderia explicar as semelhanças nos ataques de ransomware subsequentes.

“Embora os clusters de atividades de ameaças possam ser um ponto de partida para atribuir os envolvidos em um golpe, quando os pesquisadores se concentram demais no 'quem' de um ataque, eles perdem oportunidades cruciais de fortalecer defesas. Conhecer o comportamento altamente específico do invasor auxilia as equipes de detecção e resposta gerenciadas a reagir mais rapidamente a ataques ativos, além de ajudar os provedores de segurança a criar proteções mais efetivas para os clientes. Quando as soluções são baseadas em comportamentos, não importa quem está atacando, pois as potenciais vítimas poderão implementar as medidas de segurança necessárias para bloquear ataques subsequentes que tenham algumas das mesmas características”, diz Brandt.

Mais informações sobre esses incidentes estão disponíveis no relatório “Clustering attacker behavior reveals hidden patterns”.

Sobre a Sophos

Líder em segurança cibernética, a Sophos trabalha na defesa de 600.000 organizações mundialmente com uma plataforma impulsionada por IA e serviços conduzidos por peritos. A Sophos atende às organizações em qualquer estágio de sua maturidade em segurança e acompanha o seu crescimento para vencer a luta cibernética. Suas soluções combinam Machine Learning, automação e inteligência de ameaça em tempo real com a perícia humana do Sophos X-Ops na linha de frente para prestar 24 horas diárias de serviços avançados de monitoramento, detecção e resposta.
A Sophos oferece serviço gerenciado de detecção e resposta (MDR) líder do setor, acompanhado de um extenso portfólio de tecnologias de segurança cibernética — incluindo segurança de endpoint, rede, e-mail e nuvem, detecção e resposta estendidas (XDR), detecção e resposta a ameaças à identidade (ITDR) e SIEM Next-Gen. Em conjunto com serviços de consultoria especializada, esses recursos ajudam as organizações a reduzir riscos e acelerar respostas proativamente, com a visibilidade e escalabilidade necessárias para ficar à frente das ameaças.
A Sophos se coloca no mercado com um ecossistema de parcerias globais, incluindo Provedores de serviços gerenciados (MSPs), Provedores de serviços de segurança gerenciados (MSSPs), revendas e distribuidores, integrações no Marketplace e parceiros de risco cibernético, dando flexibilidade às organizações para escolher relações de confiança ao proteger seus negócios.  A Sophos está sediada em Oxford, no Reino Unido. Mais informações se encontram disponíveis no site www.sophos.com.