Grupos de ransomware Hive, Royal e Black Basta poderão estar a colaborar

No relatório “Clustering Attacker Behavior Reveals Hidden Patterns”, a Sophos revela que encontrou semelhanças claras entre os ataques orquestrados pelos três principais grupos de ransomware no ano passado, sugerindo que poderão estar ligados. As novas descobertas são fruto de uma investigação de três meses, a partir de janeiro deste ano, a quatro ataques de ransomware – um do grupo Hive, dois do Royal e um do Black Basta.

As parecenças granulares sugerem que os grupos estão a partilhar detalhes técnicos específicos das suas atividades ou até os próprios membros, embora o Royal seja conhecido como um grupo fechado que não procura afiliados em fóruns clandestinos. Neste sentido, a equipa Sophos X-Ops está a seguir estes ciberataques como um “cluster de atividades relacionadas com ameaças”.

“Uma vez que o modelo de ransomware-as-a-service requer afiliados externos para levar a cabo os ataques, não é invulgar que haja cruzamento de táticas, técnicas e procedimentos (TTPs) entre os diferentes grupos de ransomware”, afirma Andrew Brandt, Principal Researcher da Sophos. “No entanto, nestes casos que mencionamos, as semelhanças são a um nível muito granular. Estes comportamentos únicos e altamente específicos sugerem que o grupo de ransomware Royal depende muito mais de afiliados do que se pensava até agora. Os novos conhecimentos que obtivemos sobre o trabalho do Royal com afiliados e as possíveis ligações a outros grupos demonstram o valor das investigações forenses aprofundadas da Sophos”.

Os padrões descobertos incluem a utilização dos mesmos nomes de utilizador e palavras-passe específicos no momento em que os cibercriminosos assumiram o controlo dos sistemas dos alvos, entregando o payload final num arquivo .7z com o nome da organização visada e executando comandos nos sistemas infetados com os mesmos lotes de scripts e ficheiros.

No final de janeiro, o FBI desmantelou uma grande parte das operações do Hive. Segundo a Sophos, é possível que os afiliados tenham procurado um novo emprego junto dos grupos Royal e Black Basta, servindo de explicação para as semelhanças nos ataques posteriores.

“Entender o comportamento altamente específico dos atacantes ajuda as equipas de deteção e resposta a reagir mais rapidamente aos ataques ativos, e também ajuda os fornecedores de segurança a criar proteções mais sólidas para os clientes”, explica Andrew Brandt. “Quando as defesas se baseiam em comportamentos, não importa quem está a atacar – Royal, Black Basta ou outro –, pois as potenciais vítimas contarão com as medidas de segurança necessárias para bloquear ataques subsequentes que apresentem algumas das mesmas características distintivas”.