Ataques recentes apontam que os três grupos estão compartilhando manuais dos crimes ou afiliados externos

OXFORD, U.K. — Agosto 8, 2023 —

A Sophos, líder global em inovação e fornecimento de cibersegurança como serviço, divulgou o relatório “Clustering attacker behavior reveals hidden patterns”, que traz novas descobertas sobre as conexões entre três dos grupos de ransomware que ficaram conhecidos em 2022: Hive, Royal e Black Basta. Ao longo de três meses, começando em janeiro deste ano, a equipe do Sophos X-Ops, unidade multioperacional da companhia, investigou quatro ataques de ransomware diferentes, sendo um do Hive, dois do Royal e um do Black Basta e, por meio da análise, notou semelhanças distintas entre os ataques.

Apesar do Royal ser um grupo fechado e que não recruta afiliados de fóruns clandestinos, alguns padrões vistos na análise forense sugerem que os três grupos têm compartilhado membros ou detalhes específicos de suas atividades. A Sophos está rastreando e monitorando esses casos como um cluster de atividades de ameaça — o termo "cluster" é usado para denominar uma arquitetura de sistema capaz de combinar vários computadores para trabalharem em conjunto — que pode ser usado por defensores para para acelerar a detecção de ataques e os tempos de resposta a incidentes.

“Como o modelo de ransomware como serviço requer afiliados externos para realizar ataques, não é incomum que haja cruzamento nas táticas, técnicas e procedimentos (TTPs) entre diferentes grupos. No entanto, nesses casos, as semelhanças das quais falamos estão em um nível quase imperceptível. Esses comportamentos únicos e específicos sugerem que o Royal é muito mais dependente de afiliados do que se pensava. Os novos insights que obtivemos sobre o trabalho deste grupo com afiliados e possíveis laços com outros destacam o valor das investigações forenses da Sophos”, explica Andrew Brandt, principal pesquisador da Sophos.

As semelhanças exclusivas incluem o uso dos mesmos nomes de usuário e senhas específicas no momento em que os invasores assumem o controle dos sistemas dos alvos, entregando a carga útil final em um arquivo .7z — dados compactados que foram incorporados com algoritmos Lempel-Ziv-Markov (LZMA) — com o nome da organização da vítima e executando comandos nos sistemas infectados com os mesmos lotes de scripts e arquivos.

O time do Sophos X-Ops descobriu essas conexões após uma investigação de três meses sobre quatro ataques de ransomware. O primeiro deles envolveu o Hive, em janeiro de 2023. Em seguida, aconteceram os do Royal, em fevereiro e março de 2023 e, posteriormente, também em março, o do Black Basta. Perto do final de janeiro, uma grande parte da operação do Hive foi dissolvida após uma operação policial do FBI. Essa atividade pode ter levado os afiliados do Hive a procurar por novos empregos — talvez até no Royal ou Black Basta — o que poderia explicar as semelhanças nos ataques de ransomware subsequentes.

“Embora os clusters de atividades de ameaças possam ser um ponto de partida para atribuir os envolvidos em um golpe, quando os pesquisadores se concentram demais no 'quem' de um ataque, eles perdem oportunidades cruciais de fortalecer defesas. Conhecer o comportamento altamente específico do invasor auxilia as equipes de detecção e resposta gerenciadas a reagir mais rapidamente a ataques ativos, além de ajudar os provedores de segurança a criar proteções mais efetivas para os clientes. Quando as soluções são baseadas em comportamentos, não importa quem está atacando, pois as potenciais vítimas poderão implementar as medidas de segurança necessárias para bloquear ataques subsequentes que tenham algumas das mesmas características”, diz Brandt.

Mais informações sobre esses incidentes estão disponíveis no relatório “Clustering attacker behavior reveals hidden patterns”.

Sobre a Sophos

A Sophos é líder mundial em soluções inovadoras e avançadas em segurança que defendem contra ataques cibernéticos, incluindo o serviço MDR (Managed Detection and Response) e serviços de resposta a incidentes, além de um amplo portfólio de tecnologias de segurança de endpoint, rede, e-mail e nuvem. Uma das maiores provedoras globais pure-play de segurança cibernética, a Sophos se incumbe da defesa de mais de 600.000 organizações e de mais de 100 milhões de usuários contra adversários ativos, ransomwares, phishing, malwares e outros ataques. Os produtos e serviços da Sophos são interconectados através do painel de gerenciamento do Sophos Central e administrados pelo Sophos X-Ops, a unidade de inteligência de ameaças da empresa que oferece abrangência entre domínios. A inteligência do Sophos X-Ops otimiza todo o ecossistema de segurança cibernética adaptativa da Sophos, que inclui um Data Lake centralizado que se utiliza de um rico acervo de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança e tecnologia da informação. A Sophos oferece Cybersecurity as a Service para as organizações que necessitam de soluções de segurança gerenciada. O cliente também pode gerenciar a sua própria segurança cibernética, utilizando a plataforma de operações de segurança da Sophos, ou operar seguindo uma abordagem híbrida para complementar suas equipes internas com os serviços da Sophos, como a caça e remediação de ameaças. A venda de produtos e serviços da Sophos é feita por parceiros revendedores e provedores de serviços gerenciados (MSP) em todo o mundo. A Sophos está sediada em Oxford, no Reino Unido. Mais informações se encontram disponíveis no site www.sophos.com.