Sophos揭露Hive、Royal和Black Basta勒索軟體間的新關聯

Sophos是在最新報告《將攻擊者行為聚類後揭露了隱藏的模式》中，對過去一年中最知名的勒索軟體集團之間的關聯進行了新的研究，其中包括 Royal。Sophos X-Ops從2023年1月開始調查了三個月內四起不同的勒索軟體攻擊，其中一起和Hive有關，兩起由Royal發動，另一起則是Black Basta，並注意到這些攻擊之間存在許多明顯的相似之處。

儘管Royal被公認為一個封閉團體，從不向地下論壇公開招攬成員，但在攻擊的鑑識結果中出現的細微相似性表明，這三個集團在攻擊時共用了成員或特徵明確的技術。Sophos在將這些攻擊視為一個「威脅活動聚類」並進行追蹤和監控，以幫助防禦人員加快偵測和回應的速度。

Sophos首席研究員Andrew Brandt表示，因為勒索軟體即服務模式需要外部成員執行攻擊，所以不同的勒索軟體集團在戰術、技術和程序方面相互合作很常見。不過在上述案例中，看到的相似之處是非常細微的。這些特徵明確且獨特的行為表明，Royal勒索軟體集團比之前想像的更依賴其他同夥。我們對於Royal與同夥合作以及可能與其他集團有聯繫的最新觀察，凸顯Sophos深度鑑識調查的價值。

獨特的相似之處包括攻擊者接管目標系統時會使用相同的特定使用者名稱和密碼、使用以受害組織命名的 .7z 壓縮檔來遞送最終裝載，以及在被感染的系統上使用相同的批次指令碼和檔案來執行命令。

在對四起勒索軟體攻擊進行長達三個月的調查後，Sophos X-Ops成功找出了這些關聯性。第一次攻擊發生在2023年1月，和 Hive 勒索軟體有關。隨後，在2023年2月和3月，Royal發動了攻擊，而同年3月Black Basta也進行了攻擊。在2023年1月底，FBI的一次執法行動解散Hive的大部分成員，導致他們四處流竄，也許會轉向加入Royal和Black Basta，這可以解釋後續勒索軟體攻擊中出現的相似之處。

由於這些攻擊之間有許多雷同之處，Sophos X-Ops開始將所有四起勒索軟體事件視為一個威脅活動聚類而加以追蹤。

Brandt表示，儘管將威脅活動聚類可以找出源頭，但當研究人員過於關注是誰發動攻擊時，可能會錯過強化防禦的關鍵機會。了解特徵明確的攻擊者行為，有助於託管式偵測和回應團隊更快地對主動攻擊者做出反應，還能幫助安全廠商為客戶建立更強大的保護措施。當保護措施是根據行為建立時，攻擊者是誰並不重要。不論對方是Royal、Black Basta還是其他威脅，可能受害的組織都必須具備安全措施來阻擋特徵相同的後續攻擊。

如需這些勒索軟體攻擊的更多資訊，請參閱《將攻擊者行為聚類後揭露了隱藏的模式》。