Ataques recientes sugieren que los tres grupos de ransomware están compartiendo guías o afiliados

OXFORD, U.K. — Agosto 8, 2023 —

Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, publicó nuevos hallazgos sobre las conexiones entre los grupos de ransomware más destacados el año pasado, incluido Royal, en su informe, “Clustering Attacker Behavior Revela patrones ocultos”. En el transcurso de tres meses a partir de enero de 2023, Sophos X-Ops investigó cuatro ataques de ransomware diferentes, uno que involucraba a Hive, dos de Royal y uno de Black Basta, y notó distintas similitudes entre los ataques. A pesar de que Royal es un grupo notoriamente cerrado que no solicita afiliados de foros clandestinos abiertamente, las similitudes granulares en el análisis forense de los ataques sugieren que los tres grupos comparten afiliados o detalles técnicos muy específicos de sus actividades. Sophos está rastreando y monitoreando los ataques como un "grupo de actividad de amenazas" que los defensores pueden usar para acelerar los tiempos de detección y respuesta.

“Debido a que el modelo de ransomware como servicio requiere afiliados externos para llevar a cabo ataques, no es raro que haya un cruce en las tácticas, técnicas y procedimientos (TTP) entre estos diferentes grupos de ransomware. Sin embargo, en estos casos, las similitudes de las que estamos hablando están en un nivel muy granular. Estos comportamientos únicos y altamente específicos sugieren que el grupo de ransomware Royal depende mucho más de los afiliados de lo que se pensaba anteriormente. Los nuevos conocimientos que hemos obtenido sobre el trabajo de Royal con los afiliados y los posibles vínculos con otros grupos hablan del valor de las investigaciones forenses en profundidad de Sophos”, dijo Andrew Brandt, investigador principal de Sophos

Las similitudes únicas incluyen el uso de los mismos nombres de usuario y contraseñas específicos cuando los atacantes se apoderaron de los sistemas de los objetivos, entregando la carga útil final en un archivo .7z con el nombre de la organización víctima y ejecutando comandos en los sistemas infectados con los mismos scripts y archivos por lotes.

Sophos X-Ops logró descubrir estas conexiones luego de una investigación de tres meses sobre cuatro ataques de ransomware. El primer ataque involucró el ransomware Hive en enero de 2023. A esto le siguieron los ataques de Royals en febrero y marzo de 2023 y, más tarde, en marzo, el de Black Basta. Cerca de fines de enero de este año, una gran parte de la operación de Hive se disolvió luego de una operación encubierta del FBI. Esta operación podría haber llevado a los afiliados de Hive a buscar un nuevo empleo, tal vez con Royal y Black Basta, lo que explicaría las similitudes en los ataques de ransomware posteriores.

Debido a las similitudes entre estos ataques, Sophos X-Ops comenzó a rastrear los cuatro incidentes de ransomware como un grupo de actividades de amenazas.

“Si bien los grupos de actividades de amenazas pueden ser un trampolín para la atribución, cuando los investigadores se enfocan demasiado en el 'quién' de un ataque, pueden perder oportunidades críticas para fortalecer las defensas. Conocer el comportamiento altamente específico de los atacantes ayuda a los equipos administrados de detección y respuesta a reaccionar más rápido a los ataques activos. También ayuda a los proveedores de seguridad a crear protecciones más sólidas para los clientes. Cuando las protecciones se basan en comportamientos, no importa quién esté atacando (Royal, Black Basta u otro), las víctimas potenciales tendrán las medidas de seguridad necesarias para bloquear ataques posteriores que muestren algunas de las mismas características distintas”, dijo Brandt.

Más información sobre estos ataques de ransomware está disponible en el artículo "Clustering Attacker Behavior Reveals Hidden Patterns".

Acerca de Sophos

Sophos es una empresa innovadora y líder global de soluciones de seguridad avanzadas para combatir los ciberataques, entre las que se incluyen servicios de detección y respuesta gestionadas (MDR) y de respuesta a incidentes y un amplio catálogo de tecnologías para la protección de endpoints, redes, el correo electrónico y la nube. Como uno de los mayores proveedores especializados en ciberseguridad, Sophos protege a más de 600 000 organizaciones y a más de 100 millones de usuarios de todo el mundo frente a adversarios activos, ransomware, phishing, malware y mucho más. Los servicios y productos de Sophos se conectan a través de la consola de administración de Sophos Central y utilizan Sophos X-Ops, la unidad de información sobre amenazas multidominio de la empresa. La información de Sophos X-Ops optimiza todo el Sophos Adaptive Cybersecurity Ecosystem, que incluye un lago de datos centralizado que se sirve de un completo conjunto de API abiertas disponibles para clientes, partners, desarrolladores y otros proveedores de ciberseguridad y de tecnología de la información. Para las organizaciones que necesitan soluciones de seguridad totalmente gestionadas, Sophos ofrece la ciberseguridad como servicio. Aunque los clientes también pueden gestionar su ciberseguridad directamente mediante la plataforma de operaciones de seguridad de Sophos o utilizar un enfoque híbrido reforzando sus equipos internos con los servicios de Sophos, que incluyen la búsqueda y remediación de amenazas. Sophos vende a través de partners distribuidores y proveedores de servicios gestionados (MSP) en todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. Encontrará más información en es.sophos.com.