Ataques recientes sugieren que los tres grupos de ransomware están compartiendo guías o afiliados.

Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, publicó nuevos hallazgos sobre las conexiones entre los grupos de ransomware más destacados el año pasado, incluido Royal, en su informe, “Clustering Attacker Behavior Revela patrones ocultos”. En el transcurso de tres meses a partir de enero de 2023, Sophos X-Ops investigó cuatro ataques de ransomware diferentes, uno que involucraba a Hive, dos de Royal y uno de Black Basta, y notó distintas similitudes entre los ataques. A pesar de que Royal es un grupo notoriamente cerrado que no solicita afiliados de foros clandestinos abiertamente, las similitudes granulares en el análisis forense de los ataques sugieren que los tres grupos comparten afiliados o detalles técnicos muy específicos de sus actividades. Sophos está rastreando y monitoreando los ataques como un “grupo de actividad de amenazas” que los defensores pueden usar para acelerar los tiempos de detección y respuesta.

“Debido a que el modelo de ransomware como servicio requiere afiliados externos para llevar a cabo ataques, no es raro que haya un cruce en las tácticas, técnicas y procedimientos (TTP) entre estos diferentes grupos de ransomware. Sin embargo, en estos casos, las similitudes de las que estamos hablando están en un nivel muy granular. Estos comportamientos únicos y altamente específicos sugieren que el grupo de ransomware Royal depende mucho más de los afiliados de lo que se pensaba anteriormente. Los nuevos conocimientos que hemos obtenido sobre el trabajo de Royal con los afiliados y los posibles vínculos con otros grupos hablan del valor de las investigaciones forenses en profundidad de Sophos”, dijo Andrew Brandt, investigador principal de Sophos.

Las similitudes únicas incluyen el uso de los mismos nombres de usuario y contraseñas específicos cuando los atacantes se apoderaron de los sistemas de los objetivos, entregando la carga útil final en un archivo .7z con el nombre de la organización víctima y ejecutando comandos en los sistemas infectados con los mismos scripts y archivos por lotes.

Sophos X-Ops logró descubrir estas conexiones luego de una investigación de tres meses sobre cuatro ataques de ransomware. El primer ataque involucró el ransomware Hive en enero de 2023. A esto le siguieron los ataques de Royals en febrero y marzo de 2023 y, más tarde, en marzo, el de Black Basta.

Cerca de fines de enero de este año, una gran parte de la operación de Hive se disolvió luego de una operación encubierta del FBI. Esto podría haber llevado a los afiliados de Hive a buscar un nuevo empleo, tal vez con Royal y Black Basta, lo que explicaría las similitudes en los ataques de ransomware posteriores. Debido a las similitudes entre estos ataques, Sophos X-Ops comenzó a rastrear los cuatro incidentes de ransomware como un grupo de actividades de amenazas.

“Si bien los grupos de actividades de amenazas pueden ser un trampolín para la atribución, cuando los investigadores se enfocan demasiado en el ‘quién’ de un ataque, pueden perder oportunidades críticas para fortalecer las defensas. Conocer el comportamiento altamente específico de los atacantes ayuda a los equipos administrados de detección y respuesta a reaccionar más rápido a los ataques activos. También ayuda a los proveedores de seguridad a crear protecciones más sólidas para los clientes. Cuando las protecciones se basan en comportamientos, no importa quién esté atacando (Royal, Black Basta u otro), las víctimas potenciales tendrán las medidas de seguridad necesarias para bloquear ataques posteriores que muestren algunas de las mismas características distintas”, dijo Brandt.

Más información sobre estos ataques de ransomware está disponible en el artículo “Clustering Attacker Behavior Reveals Hidden Patterns”.