Sophos ver\u00f6ffentlicht in seinem Bericht „Clustering Attacker Behavior Reveals Hidden Patterns“ neue Erkenntnisse \u00fcber Verbindungen zwischen den bekanntesten Ransomware-Gruppen des vergangenen Jahres: Hive, Black Basta und Royal.<\/p>\n
<\/p>\n
Ab Januar 2023 hatte Sophos X-Ops \u00fcber einen Zeitraum von drei Monaten vier verschiedene Ransomware-Angriffe untersucht, bei denen einer auf Hive, zwei auf Royal und einer auf Black Basta zur\u00fcckging. Dabei wurden deutliche \u00c4hnlichkeiten zwischen den Angriffen festgestellt.\u00a0Obwohl Royal als sehr verschlossene Gruppe gilt, die keine Partner aus Untergrundforen sichtbar involviert, deuten feine \u00c4hnlichkeiten in der Forensik der Angriffe darauf hin, dass alle drei Gruppen im Rahmen ihrer Aktivit\u00e4ten entweder Partner oder hochspezifische technische Details teilen.<\/p>\n
Sophos verfolgt und \u00fcberwacht die Angriffe als „Cluster von Bedrohungsaktivit\u00e4ten“<\/a>, die Verteidiger nutzen k\u00f6nnen, um die Erkennungs- und Reaktionszeiten zu verk\u00fcrzen.\u00a0\u201eDa das Ransomware-as-a-Service-Modell externe Partner f\u00fcr die Durchf\u00fchrung der Angriffe erfordert, ist es generell nicht ungew\u00f6hnlich, dass es \u00dcberschneidungen in den Taktiken, Techniken und Verfahren (TTPs) zwischen verschiedenen Ransomware-Gruppen gibt. In diesen F\u00e4llen handelt es sich jedoch um \u00c4hnlichkeiten auf einer sehr feinen Ebene. Diese hochspezifischen Verhaltensweisen legen nahe, dass die Royal-Ransomware-Gruppe viel abh\u00e4ngiger von Partnern ist als bisher angenommen“, sagt Andrew Brandt, leitender Forscher bei Sophos.<\/p>\n Die spezifischen \u00c4hnlichkeiten umfassen insbesondere die folgenden drei Aspekte: Hatten erstens die Angreifer die Kontrolle \u00fcber die Systeme der Ziele \u00fcbernommen, kamen die gleichen spezifischen Benutzernamen und Passw\u00f6rter zur Anwendung. Zweitens wurde die endg\u00fcltige Payload in einem .7z-Archiv, das jeweils nach der Opferorganisation benannt war, bereitgestellt. Drittens wurden Befehle auf den infizierten Systemen mit denselben Batch-Skripten und Dateien ausgef\u00fchrt.\u00a0Sophos X-Ops gelang es, diese Verbindungen im Rahmen einer Untersuchung von vier Ransomware-Angriffen aufzudecken, die im Zeitraum von drei Monaten stattgefunden hatten. Der erste Angriff erfolgte im Januar 2023 mit der Hive-Ransomware. Darauf folgten im Februar und M\u00e4rz zwei Angriffe der Royal-Gruppe und sowie schlie\u00dflich einer von Black Basta im M\u00e4rz dieses Jahres.<\/p>\n Eine m\u00f6gliche Ursache f\u00fcr die \u00c4hnlichkeiten bei den beobachteten Ransomware-Angriffen k\u00f6nnte die Tatsache sein, dass gegen Ende Januar 2023 nach einer geheimen Operation des FBI ein gro\u00dfer Teil der Operationen von Hive aufgel\u00f6st wurde. Dies k\u00f6nnte dazu gef\u00fchrt haben, dass Hive-Partner nach einer neuen Besch\u00e4ftigung suchten \u2013 m\u00f6glicherweise bei Royal und Black Basta \u2013 was die auff\u00e4lligen \u00dcbereinstimmungen in den folgenden Ransomware-Angriffen erkl\u00e4ren k\u00f6nnte.<\/p>\n Aufgrund dieser \u00c4hnlichkeiten begann Sophos X-Ops, alle vier Ransomware-Vorf\u00e4lle als Cluster von Bedrohungsaktivit\u00e4ten zu verfolgen.\u00a0\u201eWenn beim Bedrohungsaktivit\u00e4ten-Clustering die ersten Schritte darin bestehen, die Zuordnung zu Gruppen vorzunehmen, besteht die Gefahr, dass Forscher sich zu sehr auf das ‚Wer‘ eines Angriffs konzentrieren und dabei wichtige M\u00f6glichkeiten zur St\u00e4rkung der Verteidigung \u00fcbersehen. Das Wissen \u00fcber hochspezifisches Angreifer-Verhalten hilft Managed Detection and Response (MDR)-Teams, schneller auf aktive Angriffe zu reagieren. Es hilft auch Sicherheitsanbietern dabei, st\u00e4rkere Schutzma\u00dfnahmen f\u00fcr Kunden zu entwickeln. Und wenn Schutzma\u00dfnahmen auf Verhaltensweisen basieren, spielt es keine Rolle, wer angreift. Egal ob Royal, Black Basta oder andere \u2013 potenzielle Opfer werden die notwendigen Sicherheitsvorkehrungen getroffen haben, um Angriffe, die einige der charakteristischen Merkmale aufweisen, zu blockieren“, sagt Brandt.<\/p>\n Bislang ist die Royal-Ransomware in diesem Jahr die zweith\u00e4ufigste bei den Sophos Incident Response festgestellte Ransomware-Familie.\u00a0Weitere Informationen zu diesen Ransomware-Angriffen finden Sie im Bericht „Clustering Attacker Behavior Reveals Hidden Patterns“<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Sophos ver\u00f6ffentlicht in seinem Bericht „Clustering Attacker Behavior Reveals Hidden Patterns“ neue Erkenntnisse \u00fcber Verbindungen zwischen den bekanntesten Ransomware-Gruppen des vergangenen Jahres: Hive, Black Basta und Royal.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-656","post","type-post","status-publish","format-standard","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=656"}],"version-history":[{"count":0,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/656\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}