Hive, Royal y Black Basta comparten playbooks y afiliados
- Actualidad
Una investigación de Sophos ha constatado que los grupos de ransomware Hive, Royal y Black Basta están compartiendo playbooks y afiliados. Ataques recientes sugieren que hay conexiones entre los tres.
Entre enero y marzo de 2023, Sophos X-Ops investigó cuatro ataques de ransomware diferentes, uno llevado a cabo por Hive, dos por Royal y uno por Black Basta, y observó distintas similitudes entre los ataques y que los tres grupos comparten afiliados. Según explica uno de sus investigadores principales, Andrew Brandt, como el modelo de ransomware como servicio requiere afiliados externos para llevar a cabo ataques, no es raro que haya un cruce en las tácticas, técnicas y procedimientos (TTP) entre estos diferentes grupos de ransomware. Sin embargo, en estos casos, "las similitudes de las que estamos hablando están en un nivel muy granular".
Por ejemplo, una de las similitudes encontradas es el uso de los mismos nombres de usuario y contraseñas específicos cuando los atacantes se apoderaron de los sistemas de los objetivos, entregando la carga útil final en un archivo .7z con el nombre de la organización víctima y ejecutando comandos en los sistemas infectados con los mismos scripts y archivos por lotes.
Los ataques analizados fueron uno de Hive en enero, dos de Royal en febrero y marzo, y uno de Black Basta, en marzo y, según Sophos, como a finales de enero una gran parte de Hive fue desmantelada tras una operación encubierta, puede ser que algunos de sus afiliados hayan acabado en los otros dos grupos, lo que explicaría las similitudes en los ataques de ransomware posteriores.
La firma de seguridad, debido a las conexiones observadas, comenzó a rastrear los cuatro incidentes de ransomware como un grupo de actividades de amenazas porque "cuando los investigadores se enfocan demasiado en el 'quién' de un ataque, pueden perder oportunidades críticas para fortalecer las defensas". A su juicio, conocer el comportamiento altamente específico de los atacantes ayuda a los equipos gestionados de detección y respuesta a reaccionar más rápido a los ataques activos, y también ayuda a los proveedores de seguridad a crear protecciones más sólidas para los clientes.
"Cuando las protecciones se basan en comportamientos, no importa quién esté atacando (Royal, Black Basta u otro), las víctimas potenciales tendrán las medidas de seguridad necesarias para bloquear ataques posteriores que muestren algunas de las mismas características distintas”, asegura Brandt.
