Araştırmacılara göre, son ayların en önde gelen fidye yazılımı çetelerinden üçü – Black Basta, Hive ve Royal – bir dereceye kadar gerçek dünya bağlantısını ve hatta işbirliğini gösterebilecek bir dizi ayırt edici özelliği paylaşıyor gibi görünüyor.
Las Vegas’taki Black Hat USA’da sunulan araştırmada, Sophos X-Ops araştırmacıları Andrew Brandt ve Matt Wixey, çeşitli çetelerin çeşitli saldırılarda işleyiş biçimlerini birbirine bağlayan önceden bilinmeyen bağlantıları ortaya çıkardı.
Bu “tanecikli benzerliklerin”, üçünün de ya bağlı kuruluşları paylaştığını ya da faaliyetlerinin son derece spesifik teknik ayrıntılarını gösterdiğini söylediler – bu, Royal’in herkesin bildiği gibi kapalı olmasına ve görünüşe göre herhangi biriyle işbirliği yapmaktan kaçınmasına, hiçbir zaman açıkça sektörün en iyilerinden bağlı kuruluşlar talep etmemesine rağmen. bilgi.
Brandt, “Hizmet olarak fidye yazılımı modeli, dış bağlı kuruluşların saldırıları gerçekleştirmesini gerektirdiğinden, bu farklı fidye yazılımı grupları arasında taktikler, teknikler ve prosedürlerde (TTP’ler) geçiş olması alışılmadık bir durum değildir” dedi.
“Ancak bu durumlarda bahsettiğimiz benzerlikler çok ayrıntılı. Bu son derece spesifik, benzersiz davranışlar, Royal ransomware grubunun önceden düşünülenden çok daha fazla bağlı kuruluşlara bağımlı olduğunu gösteriyor. Royal’in üye kuruluşlarla yaptığı çalışmalar ve diğer gruplarla olası bağlar hakkında edindiğimiz yeni içgörüler, derinlemesine, adli soruşturmaların değerine değiniyor.”
Sophos, müşterilerinin algılama yeteneklerini geliştirmelerine ve üç operasyondan birinin ağlarına girmesi durumunda yanıt sürelerini düşürmelerine yardımcı olabileceği umuduyla, çetelerin çeşitli saldırılarını bir tehdit etkinliği kümesi olarak izliyor ve izliyor.
Brandt ve Wixey tarafından izlenen saldırılar, Ocak ve Mart 2023 arasında gerçekleşti ve bu dönemde Hive, ABD yetkilileri tarafından yapılan bir hack-back operasyonunun ardından kesintiye uğradı. Bu operasyonun üyeleri Black Basta ve Royal’e atlamış olabilir, bu da spekülasyon olmasına rağmen gözlemlenen bazı benzerlikleri açıklamanın bir yolunu bulabilir.
Bununla birlikte, Sophos X-Ops’a göre, analiz edilen saldırıların her birinde saldırganlar çok özel davranış kalıpları sergilediler.
Her durumda, tesadüfen bulunamayacak kadar karmaşık olan aynı kullanıcı adlarını ve şifreleri kullanarak kendi yönetici düzeyinde hesaplarını kurdukları Etki Alanı Denetleyicisi sunucularını ele geçirdiler.
Aynı adları ve aynı yöntemleri kullanarak araçları için kalıcılık mekanizmaları kurmaya devam ettiler ve fidye yazılımlarını dağıtmak için temel oluşturmak amacıyla aynı dağıtım öncesi toplu betikleri kullandılar.
Fidye yazılımı yüklerini dağıtma zamanı geldiğinde, üç operasyon da aynı metodolojiyi kullandı ve 7-Zip açık kaynak arşivleyici kullanılarak oluşturulmuş ve hedeflenen kuruluşun adını taşıyan, aynı parola ile korunan ve aynı kabukla dağıtılan bir arşiv bıraktı. kurban için de adlandırılan bir yürütülebilir dosya içeren komut.
Bu bağlantıların kullanıcı kuruluşlarındaki güvenlik ekipleri için neden önemli olması gerektiğini açıklayan Brandt şunları söyledi: “Tehdit etkinlik kümeleri, ilişkilendirme için bir atlama taşı olabilirken, araştırmacılar bir saldırının ‘kim’ olduğuna çok fazla odaklandıklarında, savunmaları güçlendirmeye yönelik kritik fırsatları kaçırabilirler. . Son derece spesifik saldırgan davranışını bilmek, yönetilen tespit ve müdahale ekiplerinin aktif saldırılara daha hızlı tepki vermesine yardımcı olur. Ayrıca, güvenlik sağlayıcılarının müşteriler için daha güçlü korumalar oluşturmasına yardımcı olur.
“Korumalar davranışlara dayalı olduğunda, kimin saldırdığı önemli değil – Royal, Black Basta veya başka türlü – potansiyel kurbanlar, aynı belirgin özelliklerden bazılarını sergileyen sonraki saldırıları engellemek için gerekli güvenlik önlemlerine sahip olacak.”