Sicherheitsexperte Sophos hat in einem Bericht seine Erkenntnisse über Verbindungen zwischen Hive, Black Basta und Royal, den bekanntesten Ransomware-Gruppen des vergangenen Jahres veröffentlicht.
Für den Bericht “Clustering Attacker Behavior Reveals Hidden Patterns” hatte Sophos X-Ops ab Januar 2023 über einen Zeitraum von drei Monaten vier verschiedene Ransomware-Angriffe untersucht, bei denen einer auf Hive, zwei auf Royal und einer auf Black Basta zurückgegangen seien, teilt Sophos mit. Dabei seien deutliche Ähnlichkeiten zwischen den Angriffen festgestellt worden und dies, obwohl Royal als sehr verschlossene Gruppe gelte, die keine Partner aus Untergrundforen sichtbar involviere. Es seien aber feine Ähnlichkeiten in der Forensik der Angriffe entdeckt worden, und damit Indizien, die darauf hinweisen würden, dass alle drei Gruppen im Rahmen ihrer Aktivitäten entweder Partner oder hochspezifische technische Details teilten, heißt es weiter.
„Da das Ransomware-as-a-Service-Modell externe Partner für die Durchführung der Angriffe erfordert, ist es generell nicht ungewöhnlich, dass es Überschneidungen in den Taktiken, Techniken und Verfahren (TTPs) zwischen verschiedenen Ransomware-Gruppen gibt. In diesen Fällen handelt es sich jedoch um Ähnlichkeiten auf einer sehr feinen Ebene. Diese hochspezifischen Verhaltensweisen legen nahe, dass die Royal-Ransomware-Gruppe viel abhängiger von Partnern ist als bisher angenommen”, sagt Andrew Brandt, leitender Forscher bei Sophos.
Die von Sophos entdeckten spezifischen Ähnlichkeiten hätten insbesondere drei Aspekte umfasst: Hatten erstens die Angreifer die Kontrolle über die Systeme der Ziele übernommen, kamen die gleichen spezifischen Benutzernamen und Passwörter zur Anwendung. Zweitens wurde die endgültige Payload in einem .7z-Archiv, das jeweils nach der Opferorganisation benannt war, bereitgestellt. Drittens wurden Befehle auf den infizierten Systemen mit denselben Batch-Skripten und Dateien ausgeführt, berichtet Sophos.
Eine mögliche Ursache für die Ähnlichkeiten könnte die Tatsache sein, dass Ende Januar 2023 nach einer geheimen Operation des FBI ein großer Teil der Operationen von Hive aufgelöst worden sei. Dies könnte dazu geführt haben, dass Hive-Partner nach einer neuen Beschäftigung suchten – möglicherweise bei Royal und Black Basta – was die auffälligen Übereinstimmungen in den folgenden Ransomware-Angriffen erklären könnte.
Bislang sei die Royal-Ransomware in diesem Jahr die zweithäufigste bei den Sophos Incident Response festgestellte Ransomware-Familie, teilt der Security-Anbieter mit.
