Seit Januar 2023 hatte Sophos X-Ops über einen Zeitraum von drei Monaten vier verschiedene Ransomware-Angriffe untersucht, bei denen einer auf Hive, zwei auf Royal und einer auf Black Basta zurückging. Dabei wurden deutliche Ähnlichkeiten zwischen den Angriffen festgestellt. Obwohl Royal als sehr verschlossene Gruppe gilt, die keine Partner aus Untergrundforen sichtbar involviert, deuten feine Ähnlichkeiten in der Forensik der Angriffe darauf hin, dass alle drei Gruppen im Rahmen ihrer Aktivitäten entweder Partner oder hochspezifische technische Details teilen.
Die spezifischen Ähnlichkeiten umfassen insbesondere die folgenden drei Aspekte: Hatten erstens die Angreifer die Kontrolle über die Systeme der Ziele übernommen, kamen die gleichen spezifischen Benutzernamen und Passwörter zur Anwendung. Zweitens wurde die endgültige Payload in einem .7z-Archiv, das jeweils nach der Opferorganisation benannt war, bereitgestellt. Drittens wurden Befehle auf den infizierten Systemen mit denselben Batch-Skripten und Dateien ausgeführt.
„Da das Ransomware-as-a-Service-Modell externe Partner für die Durchführung der Angriffe erfordert, ist es generell nicht ungewöhnlich, dass es Überschneidungen in den Taktiken, Techniken und Verfahren (TTPs) zwischen verschiedenen Ransomware-Gruppen gibt. In diesen Fällen handelt es sich jedoch um Ähnlichkeiten auf einer sehr feinen Ebene. Diese hochspezifischen Verhaltensweisen legen nahe, dass die Royal-Ransomware-Gruppe viel abhängiger von Partnern ist als bisher angenommen”, sagt Andrew Brandt, leitender Forscher bei Sophos.
Eine mögliche Ursache für die Ähnlichkeiten bei den beobachteten Ransomware-Angriffen könnte die Tatsache sein, dass gegen Ende Januar 2023 nach einer geheimen Operation des FBI ein großer Teil der Operationen von Hive aufgelöst wurde. Dies könnte dazu geführt haben, dass Hive-Partner nach einer neuen Beschäftigung suchten – möglicherweise bei Royal und Black Basta – was die auffälligen Übereinstimmungen in den folgenden Ransomware-Angriffen erklären könnte.
„Wenn beim Bedrohungsaktivitäten-Clustering die ersten Schritte darin bestehen, die Zuordnung zu Gruppen vorzunehmen, besteht die Gefahr, dass Forscher sich zu sehr auf das ‘Wer’ eines Angriffs konzentrieren und dabei wichtige Möglichkeiten zur Stärkung der Verteidigung übersehen. Das Wissen über hochspezifisches Angreifer-Verhalten hilft Managed Detection and Response (MDR)-Teams, schneller auf aktive Angriffe zu reagieren. Es hilft auch Sicherheitsanbietern dabei, stärkere Schutzmaßnahmen für Kunden zu entwickeln. Und wenn Schutzmaßnahmen auf Verhaltensweisen basieren, spielt es keine Rolle, wer angreift. Egal ob Royal, Black Basta oder andere – potenzielle Opfer werden die notwendigen Sicherheitsvorkehrungen getroffen haben, um Angriffe, die einige der charakteristischen Merkmale aufweisen, zu blockieren”, sagt Brandt.
Drei Bausteine bilden die Grundlage für eine KI-Governance: Dokumentation von KI-Projekten, Model Evaluation und Monitoring…
Eine Harmonisierung der Vorschriften für RIDP-Prozesse wird dazu beitragen, Angriffe künftig besser abwehren zu können,…
Die Übernahme der Metaal Kennis Groep soll den Zugang zur Metallindustrie verbessern. Im Fokus stehen…
EY hat Mitarbeitende in neun europäischen Ländern dazu befragt, wie stark KI ihren Arbeitsalltag verändert.
Kann die Privatwirtschaft mit DePINs – dezentralen, physischen Infrastrukturnetzwerken – erreichen, was Gaia-X bislang vergeblich…
Analyse zur Anfälligkeit von MFA auf Basis von 15.000 Push-basierten Angriffen. Größte Schwachstelle ist die…