Uma equipe de pesquisadores de segurança descobriu novas conexões entre três dos grupos de ransomware que ficaram conhecidos no ano passado: Hive, Royal e Black Basta. Ao longo de três meses, com início em janeiro deste ano, a equipe de especialistas do Sophos X-Ops, unidade multioperacional da companhia de mesmo nome, investigou quatro ataques de ransomware diferentes, sendo um do Hive, dois do Royal e um do Black Basta e, por meio da análise, notou semelhanças distintas entre os ataques.
Apesar de o Royal ser um grupo fechado e que não recruta afiliados em fóruns clandestinos, alguns padrões vistos na análise forense sugerem que os três grupos têm compartilhado membros ou detalhes específicos de suas atividades. A Sophos está rastreando e monitorando esses casos como um cluster de atividades de ameaça — o termo cluster é usado para denominar uma arquitetura de sistema capaz de combinar vários computadores para trabalharem em conjunto — que pode ser usado por sistemas de defensa para acelerar a detecção de ataques e os tempos de resposta a incidentes.
“Como o modelo de ransomware como serviço requer afiliados externos para realizar ataques, não é incomum que haja cruzamento nas táticas, técnicas e procedimentos (TTPs) entre diferentes grupos. No entanto, nesses casos, as semelhanças das quais falamos estão em um nível quase imperceptível. Esses comportamentos únicos e específicos sugerem que o Royal é muito mais dependente de afiliados do que se pensava. Os novos insights que obtivemos sobre o trabalho deste grupo com afiliados e possíveis laços com outros destacam o valor das investigações forenses da Sophos”, explica Andrew Brandt, principal pesquisador da Sophos.
As semelhanças exclusivas incluem o uso dos mesmos nomes de usuário e senhas específicas no momento em que os invasores assumem o controle dos sistemas dos alvos, entregando a carga útil final em um arquivo .7z — dados compactados que foram incorporados com algoritmos Lempel-Ziv-Markov (LZMA) — com o nome da organização da vítima e executando comandos nos sistemas infectados com os mesmos lotes de scripts e arquivos.
Veja isso
ABB é alvo de ciberataque do ransomware Black Basta
Grupo Hive já recebeu US$ 100 milhões em resgates
O time do Sophos X-Ops descobriu essas conexões após uma investigação de três meses sobre quatro ataques de ransomware. O primeiro deles envolveu o Hive, em janeiro deste ano. Em seguida, aconteceram os do Royal, em fevereiro e março e, posteriormente, também em março, o do Black Basta. Perto do fim de janeiro, uma grande parte da operação do Hive foi dissolvida após uma operação policial do FBI. Essa atividade pode ter levado os afiliados do Hive a procurar por novos empregos — talvez até no Royal ou Black Basta — o que poderia explicar as semelhanças nos ataques de ransomware subsequentes.
“Embora os clusters de atividades de ameaças possam ser um ponto de partida para atribuir os envolvidos em um golpe, quando os pesquisadores se concentram demais no ‘quem’ de um ataque, eles perdem oportunidades cruciais de fortalecer defesas. Conhecer o comportamento altamente específico do invasor auxilia as equipes de detecção e resposta gerenciadas a reagir mais rapidamente a ataques ativos, além de ajudar os provedores de segurança a criar proteções mais efetivas para os clientes. Quando as soluções são baseadas em comportamentos, não importa quem está atacando, pois as potenciais vítimas poderão implementar as medidas de segurança necessárias para bloquear ataques subsequentes que tenham algumas das mesmas características”, diz Brandt.
