News
Sophos découvre de nouveaux liens entre les ransomwares Hive, Royal et Black Basta
août 2023 par Sophos
Sophos publie de nouvelles découvertes concernant des liens entre les groupes de ransomwares les plus en vue l’an passé, notamment celui dénommé Royal, dans son étude intitulée Clustering Attacker Behavior Reveals Hidden Patterns. Au cours des trois mois écoulés depuis début janvier 2023, Sophos X-Ops a enquêté sur quatre attaques de ransomwares différentes, dont une imputable au groupe Hive, deux à Royal et la dernière à Black Basta, observant entre elles des similitudes distinctives. Bien que Royal soit réputé être un groupe fermé qui ne recrute pas ouvertement des affiliés sur les forums clandestins, de subtils points communs révélés par l’investigation des attaques laissent penser que ces trois groupes partagent des affiliés ou bien des détails techniques très spécifiques de leurs activités. Sophos suit et surveille ces attaques en tant que « cluster d’activités malveillantes » auquel les cyberdéfenseurs peuvent se référer pour accélérer la détection des menaces et raccourcir leurs temps de réponse.
« Étant donné que le modèle de Ransomware-as-a-Service nécessite des affiliés extérieurs pour l’exécution des attaques, il n’est pas rare qu’il se produise des croisements entre les tactiques, techniques et procédures (TTP) de ces différents groupes de ransomwares. Cependant, en l’occurrence, les similitudes dont nous parlons se trouvent à un niveau très granulaire. Ces comportements extrêmement spécifiques laissent penser que le groupe Royal fait beaucoup plus appel à des affiliés que nous le pensions jusque-là. Les nouvelles indications que nous avons recueillies sur le travail de Royal auprès d’affiliés et ses possibles liens avec d’autres groupes attestent de la valeur des investigations forensiques approfondies de Sophos », commente Andrew Brandt, chercheur principal chez Sophos.
Les similitudes distinctives sont notamment l’utilisation des mêmes noms d’utilisateurs et mots de passe spécifiques lorsque les auteurs des attaques prennent le contrôle des systèmes cibles, la diffusion de la charge malveillante dans une archive .7z portant le nom de la victime ou encore l’exécution de commandes sur les systèmes infectés au moyen de fichiers et de scripts batch identiques.
Sophos X-Ops est parvenu à mettre au jour ces liens à la suite d’une enquête de trois mois portant sur quatre attaques de ransomwares. La première attaque était le fait du groupe Hive en janvier 2023. Elle a été suivie d’attaques lancées par Royal en février et mars 2023 et, toujours en mars, d’une autre provenant de Black Basta. Vers la fin janvier de cette année, une grande partie de l’opération Hive a été démantelée par une intervention « sting » du FBI. Il est possible que cela ait amené des affiliés de Hive à chercher un nouvel employeur – peut-être du côté de Royal et Black Basta – ce qui expliquerait les similitudes relevées dans les attaques de ransomwares ultérieures.
En raison des similitudes entre ces attaques, Sophos X-Ops a commencé à procéder au suivi des quatre incidents de ransomwares comme formant un cluster d’activités malveillantes.
« Alors que les clusters d’activités malveillantes peuvent constituer un pas vers l’attribution, les chercheurs qui se focalisent trop sur l’auteur d’une attaque risquent de laisser passer des opportunités critiques de renforcer leurs défenses. La connaissance du comportement très spécifique des cyberattaquants aide les équipes de détection et de réponse managées à réagir plus rapidement aux attaques actives. Elle permet également aux prestataires de sécurité de mettre en place des protections plus robustes pour leurs clients. Lorsque ces protections reposent sur des comportements, peu importe qui mène l’attaque, que ce soit Royal, Black Basta ou un autre groupe : les victimes potentielles disposeront des mesures de sécurité nécessaires pour bloquer des attaques ultérieures présentant certaines caractéristiques distinctives identiques », conclut Andrew Brandt.
