Sophos aponta novas conexões entre famílias de ransomware Hive, Royal e Black Basta

A Sophos, empresa global em inovação e fornecimento de cibersegurança como serviço, divulgou o relatório “Clustering attacker behavior reveals hidden patterns”, que traz novas descobertas sobre as conexões entre três dos grupos de ransomware que ficaram conhecidos em 2022: Hive, Royal e Black Basta. Ao longo de três meses, começando em janeiro deste ano, a equipe do Sophos X-Ops, unidade multioperacional da companhia, investigou quatro ataques de ransomware diferentes, sendo um do Hive, dois do Royal e um do Black Basta e, por meio da análise, notou semelhanças distintas entre os ataques.

Apesar do Royal ser um grupo fechado e que não recruta afiliados de fóruns clandestinos, alguns padrões vistos na análise forense sugerem que os três grupos têm compartilhado membros ou detalhes específicos de suas atividades. A Sophos está rastreando e monitorando esses casos como um cluster de atividades de ameaça — o termo “cluster” é usado para denominar uma arquitetura de sistema capaz de combinar vários computadores para trabalharem em conjunto — que pode ser usado por defensores para para acelerar a detecção de ataques e os tempos de resposta a incidentes.

“Como o modelo de ransomware como serviço requer afiliados externos para realizar ataques, não é incomum que haja cruzamento nas táticas, técnicas e procedimentos (TTPs) entre diferentes grupos. No entanto, nesses casos, as semelhanças das quais falamos estão em um nível quase imperceptível. Esses comportamentos únicos e específicos sugerem que o Royal é muito mais dependente de afiliados do que se pensava. Os novos insights que obtivemos sobre o trabalho deste grupo com afiliados e possíveis laços com outros destacam o valor das investigações forenses da Sophos”, explica Andrew Brandt, principal pesquisador da Sophos.

As semelhanças exclusivas incluem o uso dos mesmos nomes de usuário e senhas específicas no momento em que os invasores assumem o controle dos sistemas dos alvos, entregando a carga útil final em um arquivo .7z — Dados compactados que foram incorporados com algoritmos Lempel-Ziv-Markov (LZMA) — com o nome da organização da vítima e executando comandos nos sistemas infectados com os mesmos lotes de scripts e arquivos.

O time do Sophos X-Ops descobriu essas conexões após uma investigação de três meses sobre quatro ataques de ransomware. O primeiro deles envolveu o Hive, em janeiro de 2023. Em seguida, aconteceram os do Royal, em fevereiro e março de 2023 e, posteriormente, também em março, o do Black Basta. Perto do final de janeiro, uma grande parte da operação do Hive foi dissolvida após uma operação policial do FBI. Essa atividade pode ter levado os afiliados do Hive a procurar por novos empregos — talvez até no Royal ou Black Basta — o que poderia explicar as semelhanças nos ataques de ransomware subsequentes.

“Embora os clusters de atividades de ameaças possam ser um ponto de partida para atribuir os envolvidos em um golpe, quando os pesquisadores se concentram demais no ‘quem’ de um ataque, eles perdem oportunidades cruciais de fortalecer defesas. Conhecer o comportamento altamente específico do invasor auxilia as equipes de detecção e resposta gerenciadas a reagir mais rapidamente a ataques ativos, além de ajudar os provedores de segurança a criar proteções mais efetivas para os clientes. Quando as soluções são baseadas em comportamentos, não importa quem está atacando, pois as potenciais vítimas poderão implementar as medidas de segurança necessárias para bloquear ataques subsequentes que tenham algumas das mesmas características”, diz Brandt.