Home » News » Cybersecurity » Hive, Royal und Black Basta Ransomware – ähnlicher als bisher bekannt

Hive, Royal und Black Basta Ransomware – ähnlicher als bisher bekannt

Ähnlichkeiten zwischen den Ransomware-Gruppen Hive, Black Basta und Royal sind möglicherweise größer als bisher angenommen, wie aktuelle Angriffe nahelegen. Während einer dreimonatigen Untersuchung von Januar bis März 2023 analysierten Forscher vier separate Ransomware-Angriffe – einer wurde Hive zugeschrieben, zwei Royal und einer Black Basta. Diese Untersuchung enthüllte auffallende Gemeinsamkeiten zwischen den Angriffen.

2 Min. Lesezeit
Foto: ©AdobeStock/Quardia Inc.

Der Bericht „Clustering Attacker Behavior Reveals Hidden Patterns“ von Sophos beleuchtet neue Erkenntnisse über Verbindungen zwischen den bekanntesten Ransomware-Gruppen des vergangenen Jahres: Hive, Black Basta und Royal. Obwohl Royal als eine besonders verschlossene Gruppe gilt, die keine sichtbare Partnerschaft mit Untergrundforen eingeht, deuten subtile Parallelen in den forensischen Details der Angriffe darauf hin, dass alle drei Gruppen möglicherweise Partner oder spezifische technische Aspekte teilen. Sophos bezeichnet diese Angriffe als „Cluster von Bedrohungsaktivitäten“, die von Verteidigungsteams genutzt werden können, um Erkennungs- und Reaktionszeiten zu verkürzen.

„Da das Ransomware-as-a-Service-Modell externe Partner für die Angriffe erfordert, ist es nicht ungewöhnlich, dass verschiedene Ransomware-Gruppen ähnliche Taktiken, Techniken und Verfahren (TTPs) verwenden. In diesem Fall jedoch zeigen die bemerkenswert feinen Gemeinsamkeiten, dass die Royal-Ransomware-Gruppe möglicherweise stärker von Partnern abhängig ist als bisher angenommen“, erklärt Andrew Brandt, leitender Forscher bei Sophos.

Die spezifischen Ähnlichkeiten umfassen drei Hauptaspekte: Bei der Übernahme der Kontrolle über die Zielsysteme wurden die gleichen Benutzernamen und Passwörter verwendet. Die finale Payload wurde in einem .7z-Archiv bereitgestellt, das nach der Opferorganisation benannt war. Darüber hinaus wurden Befehle auf infizierten Systemen mithilfe derselben Batch-Skripte und Dateien ausgeführt.

Sophos X-Ops identifizierte diese Verbindungen während der Untersuchung von vier Ransomware-Angriffen innerhalb von drei Monaten. Der erste Angriff erfolgte im Januar 2023 durch Hive. Darauf folgten im Februar und März zwei Angriffe durch die Royal-Gruppe, gefolgt von einem Angriff von Black Basta im März.

Eine mögliche Erklärung für diese Ähnlichkeiten könnte sein, dass gegen Ende Januar 2023, nach einer geheimen Operation des FBI, viele Operationen von Hive aufgedeckt wurden. Dies könnte dazu geführt haben, dass Partner von Hive nach neuen Möglichkeiten suchten, möglicherweise bei Royal und Black Basta, was die auffälligen Parallelen in den folgenden Ransomware-Angriffen erklären könnte.

Basierend auf diesen Erkenntnissen begann Sophos X-Ops, die vier Ransomware-Vorfälle als zusammenhängende Bedrohungsaktivitäten zu betrachten. Diese Herangehensweise ermöglicht es, über das „Wer“ eines Angriffs hinauszugehen und das Verhalten der Angreifer genauer zu betrachten. Das Wissen über spezifische Angreifer-Verhaltensweisen unterstützt Managed Detection and Response (MDR)-Teams dabei, schneller auf aktive Angriffe zu reagieren, und hilft Sicherheitsanbietern, stärkere Schutzmaßnahmen für Kunden zu entwickeln. Wenn Schutzmaßnahmen auf Verhaltensmustern basieren, wird es unwichtig, welcher Gruppe der Angreifer angehört. Potenzielle Opfer können geeignete Sicherheitsvorkehrungen ergreifen, um Angriffe mit charakteristischen Merkmalen abzuwehren. Bislang ist die Royal-Ransomware in diesem Jahr die zweithäufigste bei den Sophos Incident Response festgestellte Ransomware-Familie.

Weitere Informationen zu diesen Ransomware-Angriffen gibt es im Bericht Clustering Attacker Behavior Reveals Hidden Patterns.

Andere interessante News

Cyberabwehr

Abwehr und Wiederherstellung als Grundpfeiler der Cyber-Resilienz

Unternehmen sollten bei ihrer Cyber-Resilienz-Strategie genau wissen, welche Gefahren drohen, welche Schritte sie zur Abwehr priorisieren müssen und wie sie eine schnelle Wiederherstellung von Daten organisieren. Das bedeutet, dass neben dem Schutz vor Angriffen auch die Möglichkeit zur zuverlässigen Datenwiederherstellung entscheidend ist, um eine umfassende Cyber-Resilienz zu gewährleisten.

Datensicherheit in der Cloud

Best Practices für den Schutz von Daten als Service

Heutzutage müssen Unternehmen ihre Kosten senken, Prozesse verbessern und sich vor Cyber-Bedrohungen schützen. Um das zu schaffen, brauchen sie kluge Strategien für die Stabilität von SaaS-Diensten und um in Cloud-Umgebungen vollständige Kontrolle und Sicherheit zu erlangen.

Deepfake-Anrufe

Deepfake-Phishing braucht verstärkte Sensibilisierungsmaßnahmen

Ein Mitarbeiter eines Passwortmanager-Unternehmens wurde kürzlich Ziel eines Deepfake-Phishing-Angriffs, bei dem sich der Angreifer als CEO ausgab. Durch seine Schulung konnte der Mitarbeiter den Betrug rechtzeitig erkennen. Dies verdeutlicht das Risiko solcher Angriffe und die Bedeutung der Mitarbeiterschulung für die Verteidigung von Unternehmen.