Sophos揭露Hive、Royal和Black Basta勒索软件间的新关联

Sophos是在最新报告《将攻击者行为聚类后揭露了隐藏的模式》中，对过去一年中最知名的勒索软件集团之间的关联进行了新的研究，其中包括 Royal。Sophos X-Ops从2023年1月开始调查了三个月内四起不同的勒索软件攻击，其中一起和Hive有关，两起由Royal发动，另一起则是Black Basta，并注意到这些攻击之间存在许多明显的相似之处。

尽管Royal被公认为一个封闭团体，从不向地下论坛公开招揽成员，但在攻击的监识结果中出现的细微相似性表明，这三个集团在攻击时共享了成员或特徵明确的技术。Sophos在将这些攻击视为一个「威胁活动聚类」并进行追踪和监控，以帮助防御人员加快侦测和回应的速度。

Sophos首席研究员Andrew Brandt表示，因为勒索软件即服务模式需要外部成员执行攻击，所以不同的勒索软件集团在战术、技术和程序方面相互合作很常见。不过在上述案例中，看到的相似之处是非常细微的。这些特徵明确且独特的行为表明，Royal勒索软件集团比之前想像的更依赖其他同夥。我们对于Royal与同夥合作以及可能与其他集团有联系的最新观察，凸显Sophos深度监识调查的价值。

独特的相似之处包括攻击者接管目标系统时会使用相同的特定使用者名称和口令、使用以受害组织命名的 .7z 压缩档来递送最终装载，以及在被感染的系统上使用相同的批次指令码和档案来执行命令。

在对四起勒索软件攻击进行长达三个月的调查后，Sophos X-Ops成功找出了这些关联性。第一次攻击发生在2023年1月，和 Hive 勒索软件有关。随后，在2023年2月和3月，Royal发动了攻击，而同年3月Black Basta也进行了攻击。在2023年1月底，FBI的一次执法移动解散Hive的大部分成员，导致他们四处流窜，也许会转向加入Royal和Black Basta，这可以解释后续勒索软件攻击中出现的相似之处。

由于这些攻击之间有许多雷同之处，Sophos X-Ops开始将所有四起勒索软件事件视为一个威胁活动聚类而加以追踪。

Brandt表示，尽管将威胁活动聚类可以找出源头，但当研究人员过于关注是谁发动攻击时，可能会错过强化防御的关键机会。了解特徵明确的攻击者行为，有助于托管式侦测和回应团队更快地对主动攻击者做出反应，还能帮助安全厂商为客户建立更强大的保护措施。当保护措施是根据行为建立时，攻击者是谁并不重要。不论对方是Royal、Black Basta还是其他威胁，可能受害的组织都必须具备安全措施来阻挡特徵相同的后续攻击。

如需这些勒索软件攻击的更多信息，请参阅《将攻击者行为聚类后揭露了隐藏的模式》。