Sophos, leader globale nell’innovazione e nell’erogazione della cybersicurezza as-a-service, ha pubblicato all’interno del nuovo report intitolato “Clustering Attacker Behavior Reveals Hidden Patterns” nuovi dati che gettano luce sui collegamenti allacciati nell’ultimo anno fra i principali gruppi specializzati in ransomware, incluso Royal.
Nell’arco del primo trimestre del 2023 Sophos X-Ops ha analizzato infatti quattro differenti attacchi ransomware – uno relativo a Hive, due a Royal e uno a Black Basta – notando particolari somiglianze tra essi. Nonostante Royal sia un gruppo notoriamente chiuso e non solleciti attivamente la partecipazione di affiliati nei forum underground, somiglianze granulari emerse nelle analisi degli attacchi suggeriscono la possibilità che tutti i tre gruppi condividano affiliati o dettagli tecnici altamente specifici delle rispettive attività. Sophos sta tracciando e monitorando gli attacchi come un “cluster di attività pericolose” che può essere utilizzato per velocizzare i tempi di rilevamento e di risposta.
“Dal momento che il modello ransomware-as-a-service richiede che siano affiliati esterni a condurre gli attacchi, non è raro che vi sia un incrocio di tattiche, tecniche e procedure (TTP) tra gruppi ransomware differenti. Tuttavia, in questi casi le somiglianze di cui parliamo si verificano a livello estremamente granulare. Sono particolari comportamenti altamente specifici che fanno pensare che il gruppo Royal si avvalga di affiliati molto più di quanto si credeva. I nuovi elementi raccolti sulle attività di Royal con i suoi affiliati e i possibili collegamenti con altri gruppi testimoniano il valore delle analisi approfondite svolte da Sophos”, ha dichiarato Andrew Brandt, principal researcher di Sophos.
Le somiglianze scoperte riguardano l’impiego degli stessi set di credenziali (nome utente e password) quando gli autori degli attacchi assumono il controllo dei sistemi colpiti, il trasferimento del payload finale con un archivio .7z avente lo stesso nome dell’organizzazione colpita, e l’esecuzione di comandi sui sistemi infetti con i medesimi script e file batch.
Sophos X-Ops ha scoperto queste connessioni al termine di un’analisi di tre mesi su quattro attacchi ransomware. Il primo di essi ha riguardato il ransomware Hive nel gennaio 2023, seguito da due attacchi Royal a febbraio e marzo e, infine, da un attacco Black Basta a marzo. Verso fine gennaio di quest’anno una vasta parte della rete Hive è stata neutralizzata a seguito di una operazione sotto copertura condotta dalla FBI. Questa operazione può aver spinto gli affiliati a Hive a ricercare nuovi contatti – forse con Royal e Black Basta – il che spiegherebbe le somiglianze tra gli attacchi ransomware che ne sono seguiti.
A causa delle somiglianze tra questi attacchi, Sophos X-Ops ha iniziato a considerare tutti i quattro incidenti come un unico cluster di attività pericolose.
“Anche se i cluster di attività pericolose possono essere il primo passo verso l’attribuzione di un attacco, quando i ricercatori si concentrano troppo sul ‘chi’ di un attacco possono rischiare di perdere utili opportunità per rafforzare le difese. Conoscere comportamenti altamente specifici aiuta i team responsabili delle attività di rilevamento e risposta gestite a reagire più velocemente di fronte agli attacchi in corso; inoltre, aiuta i provider di soluzioni di sicurezza a creare protezioni più efficaci per i loro clienti. Quando le protezioni si basano sui comportamenti è ininfluente sapere chi stia attaccando – Royal, Black Basta o chiunque altro – perché le potenziali vittime dispongono delle misure di sicurezza necessarie a bloccare gli attacchi che evidenziano le stesse caratteristiche distinte”, ha sottolineato Brandt.
