Sophos’a göre, farklı gruplar tarafından gerçekleştirilen bir dizi fidye yazılımı saldırısı, ilginç bir şekilde benzer özellikleri paylaşıyor.
Sophos, geçen yıl Royal de dahil olmak üzere en önde gelen fidye yazılımı grupları arasındaki bağlantılara ilişkin yeni bulgular yayınladı. Kümeleme Saldırgan Davranışı Gizli Kalıpları Ortaya Çıkarıyor rapor.
Son fidye yazılımı saldırılarında bulunan belirgin benzerlikler
Ocak 2023’te başlayan üç ay boyunca Sophos X-Ops, biri Hive, ikisi Royal ve biri Black Basta tarafından olmak üzere dört farklı fidye yazılımı saldırısını araştırdı ve saldırılar arasında belirgin benzerlikler fark etti.
Royal, yeraltı forumlarından açıkça üye talep etmeyen, kötü şöhretli kapalı bir grup olmasına rağmen, saldırıların adli tıpındaki ayrıntılı benzerlikler, üç grubun da ya bağlı kuruluşları ya da faaliyetlerinin oldukça spesifik teknik ayrıntılarını paylaştığını gösteriyor. Sophos, saldırıları, savunucuların algılama ve yanıt sürelerini hızlandırmak için kullanabilecekleri bir “tehdit faaliyeti kümesi” olarak izliyor ve izliyor.
“Hizmet olarak fidye yazılımı modeli, saldırıları gerçekleştirmek için dış bağlı kuruluşları gerektirdiğinden, bu farklı fidye yazılımı grupları arasında taktikler, teknikler ve prosedürlerde (TTP’ler) geçiş olması alışılmadık bir durum değildir. Ancak bu durumlarda bahsettiğimiz benzerlikler çok ayrıntılıdır. Bu son derece spesifik, benzersiz davranışlar, Royal ransomware grubunun önceden düşünülenden çok daha fazla bağlı kuruluşlara bağımlı olduğunu gösteriyor. Sophos’un baş araştırmacısı Andrew Brandt, Royal’in üye kuruluşlarla yaptığı çalışmalar ve diğer gruplarla olası bağları hakkında edindiğimiz yeni içgörüler, Sophos’un derinlemesine adli soruşturmalarının değerini ortaya koyuyor” dedi.
Tehdit etkinlik kümeleri
Eşsiz benzerlikler arasında, saldırganlar hedefteki sistemleri ele geçirdiğinde aynı özel kullanıcı adlarını ve parolaları kullanmak, son yükü kurban kuruluşun adını taşıyan .7z arşivinde teslim etmek ve virüs bulaşmış sistemlerde aynı toplu komut dizileri ve dosyalarla komutları yürütmek yer alır.
Sophos X-Ops, dört fidye yazılımı saldırısına ilişkin üç aylık uzun bir soruşturmanın ardından bu bağlantıları ortaya çıkarmayı başardı. İlk saldırı, Ocak 2023’te Hive fidye yazılımını içeriyordu. Bunu, Şubat ve Mart 2023’te Royals’ın ve daha sonra Mart’ta Black Basta’nın saldırıları izledi.
Bu yılın Ocak ayının sonlarına doğru, Hive’ın operasyonunun büyük bir kısmı, FBI tarafından yapılan bir operasyon sonrasında dağıtıldı. Bu operasyon, Hive üyelerini yeni işler aramaya yöneltebilirdi – belki de Royal ve Black Basta’da – bu da peş peşe gelen fidye yazılımı saldırılarındaki benzerlikleri açıklayabilirdi.
Bu saldırılar arasındaki benzerlikler nedeniyle Sophos X-Ops, dört fidye yazılımı olayını da bir tehdit etkinliği kümesi olarak izlemeye başladı.
“Tehdit etkinlik kümeleri, ilişkilendirme için bir basamak taşı olabilse de, araştırmacılar bir saldırının ‘kim’ olduğuna çok fazla odaklandıklarında, savunmaları güçlendirmek için kritik fırsatları kaçırabilirler. Son derece spesifik saldırgan davranışını bilmek, yönetilen tespit ve müdahale ekiplerinin aktif saldırılara daha hızlı tepki vermesine yardımcı olur. Ayrıca, güvenlik sağlayıcılarının müşteriler için daha güçlü korumalar oluşturmasına yardımcı olur. Korumalar davranışlara dayalı olduğunda, kimin saldırdığı önemli değildir – Royal, Black Basta veya başka türlü – potansiyel kurbanlar, aynı belirgin özelliklerden bazılarını sergileyen sonraki saldırıları engellemek için gerekli güvenlik önlemlerine sahip olacaktır,” dedi Brandt. .