Kyberbezpečnostná firma Sophos vo svojej štúdii s názvom „Podobné správanie útočníkov odhaľuje skryté vzorce“ zverejnila nové zistenia o prepojení najvýznamnejších ransomvérových skupín pôsobiacich počas uplynulého roka, vrátane skupiny Royal . V priebehu troch mesiacov, počnúc januárom 2023, preveril expertný tím Sophos X-Ops štyri rôzne ransomvérové útoky – jeden vykonaný skupinou Hive, dva skupinou Royal a jeden skupinou Black Basta, a zaznamenal medzi nimi výrazné podobnosti. Napriek tomu, že je Royal notoricky uzavretou skupinou, ktorá sa verejne nesnaží získavať partnerov z undergroundových fór, čiastkové podobnosti vo forenznej analýze útokov naznačujú, že všetky tri skupiny zdieľajú buď partnerov, alebo veľmi špecifické technické detaily svojich aktivít. Sophos tieto útoky sleduje a monitoruje ako „zhluky hrozieb“, ktoré môžu obrancovia využiť na zrýchlenie detekcie týchto útokov a reakcie na ne.

„Vzhľadom na to, že model poskytovania ransomvéru formou služby vyžaduje na vykonávanie útokov externých partnerov, nie je neobvyklé, že sa taktiky, techniky a postupy (TTP) medzi týmito ransomvérovými skupinami prelínajú. V týchto prípadoch ale ide o podobnosti na veľmi detailnej úrovni. Toto vysoko špecifické a jedinečné správanie naznačuje, že ransomvérová skupina Royal je oveľa viac závislá na partneroch, než sa predtým predpokladalo ,“ povedal Andrew Brandt, hlavný výskumník spoločnosti Sophos.

Medzi jedinečné podobnosti patrí použitie rovnakých špecifických užívateľských mien a hesiel pri prevzatí systémov obetí útočníkmi, doručenie dát finálneho útoku v archíve typu .7z pomenovanom podľa organizácie, ktorá bola obeťou útoku, a tiež spúšťanie príkazov na infikovaných systémoch pomocou rovnakých dávkových skriptov a súborov.

Tímu Sophos X-Ops sa podarilo tieto spojenia odhaliť po trojmesačnom vyšetrovaní vyššie spomenutých štyroch ransomvéreových útokov. Prvý útok vykonala ransomvérová skupina Hive v januári 2023. Nasledovali útoky skupiny Royal vo februári a marci 2023 a neskôr v marci útok skupiny Black Basta. Ku koncu januára tohto roku bola veľká časť skupiny Hive zlikvidovaná pri zásahu FBI. Táto operácia mohla viesť členov skupiny Hive k hľadaniu nového zamestnania – možno aj v skupinách Royal a Black Basta, čo by vysvetľovalo podobnosti v následných ransomvérovýchh útokoch. Vzhľadom na podobnosti medzi týmito útokmi začal tím Sophos X-Ops sledovať všetky štyri ransomvérové incidenty ako zhluk hrozieb.

„Zatiaľ čo zhluky aktivít môžu byť odrazovým mostíkom na identifikáciu, ak sa výskumníci príliš sústredia na to, kto útok vykonal, môžu opomenúť kriticky dôležité príležitosti na posilnenie obrany. Znalosť vysoko špecifického správania útočníkov pomáha tímom pre riadenú detekciu a reakciu rýchlejšie reagovať na aktívne útoky. Súčasne pomáha aj poskytovateľom zabezpečenia vytvárať silnejšiu ochranu pre ich klientov. Ak je ochrana založená na správaní, nezáleží na tom, kto útočí – či už Royal, Black Basta alebo niekto iný – potenciálne obete budú mať k dispozícii potrebné bezpečnostné opatrenia na zablokovanie následných útokov, ktoré vykazujú rovnaké charakteristické znaky,“ povedal Brandt.