Home » News » Cybersecurity » Hive, Royal und Black Basta Ransomware – ähnlicher als bisher bekannt

Hive, Royal und Black Basta Ransomware – ähnlicher als bisher bekannt

Ähnlichkeiten zwischen den Ransomware-Gruppen Hive, Black Basta und Royal sind möglicherweise größer als bisher angenommen, wie aktuelle Angriffe nahelegen. Während einer dreimonatigen Untersuchung von Januar bis März 2023 analysierten Forscher vier separate Ransomware-Angriffe – einer wurde Hive zugeschrieben, zwei Royal und einer Black Basta. Diese Untersuchung enthüllte auffallende Gemeinsamkeiten zwischen den Angriffen.

2 Min. Lesezeit
Foto: ©AdobeStock/Quardia Inc.

Der Bericht „Clustering Attacker Behavior Reveals Hidden Patterns“ von Sophos beleuchtet neue Erkenntnisse über Verbindungen zwischen den bekanntesten Ransomware-Gruppen des vergangenen Jahres: Hive, Black Basta und Royal. Obwohl Royal als eine besonders verschlossene Gruppe gilt, die keine sichtbare Partnerschaft mit Untergrundforen eingeht, deuten subtile Parallelen in den forensischen Details der Angriffe darauf hin, dass alle drei Gruppen möglicherweise Partner oder spezifische technische Aspekte teilen. Sophos bezeichnet diese Angriffe als „Cluster von Bedrohungsaktivitäten“, die von Verteidigungsteams genutzt werden können, um Erkennungs- und Reaktionszeiten zu verkürzen.

„Da das Ransomware-as-a-Service-Modell externe Partner für die Angriffe erfordert, ist es nicht ungewöhnlich, dass verschiedene Ransomware-Gruppen ähnliche Taktiken, Techniken und Verfahren (TTPs) verwenden. In diesem Fall jedoch zeigen die bemerkenswert feinen Gemeinsamkeiten, dass die Royal-Ransomware-Gruppe möglicherweise stärker von Partnern abhängig ist als bisher angenommen“, erklärt Andrew Brandt, leitender Forscher bei Sophos.

Die spezifischen Ähnlichkeiten umfassen drei Hauptaspekte: Bei der Übernahme der Kontrolle über die Zielsysteme wurden die gleichen Benutzernamen und Passwörter verwendet. Die finale Payload wurde in einem .7z-Archiv bereitgestellt, das nach der Opferorganisation benannt war. Darüber hinaus wurden Befehle auf infizierten Systemen mithilfe derselben Batch-Skripte und Dateien ausgeführt.

Sophos X-Ops identifizierte diese Verbindungen während der Untersuchung von vier Ransomware-Angriffen innerhalb von drei Monaten. Der erste Angriff erfolgte im Januar 2023 durch Hive. Darauf folgten im Februar und März zwei Angriffe durch die Royal-Gruppe, gefolgt von einem Angriff von Black Basta im März.

Eine mögliche Erklärung für diese Ähnlichkeiten könnte sein, dass gegen Ende Januar 2023, nach einer geheimen Operation des FBI, viele Operationen von Hive aufgedeckt wurden. Dies könnte dazu geführt haben, dass Partner von Hive nach neuen Möglichkeiten suchten, möglicherweise bei Royal und Black Basta, was die auffälligen Parallelen in den folgenden Ransomware-Angriffen erklären könnte.

Basierend auf diesen Erkenntnissen begann Sophos X-Ops, die vier Ransomware-Vorfälle als zusammenhängende Bedrohungsaktivitäten zu betrachten. Diese Herangehensweise ermöglicht es, über das „Wer“ eines Angriffs hinauszugehen und das Verhalten der Angreifer genauer zu betrachten. Das Wissen über spezifische Angreifer-Verhaltensweisen unterstützt Managed Detection and Response (MDR)-Teams dabei, schneller auf aktive Angriffe zu reagieren, und hilft Sicherheitsanbietern, stärkere Schutzmaßnahmen für Kunden zu entwickeln. Wenn Schutzmaßnahmen auf Verhaltensmustern basieren, wird es unwichtig, welcher Gruppe der Angreifer angehört. Potenzielle Opfer können geeignete Sicherheitsvorkehrungen ergreifen, um Angriffe mit charakteristischen Merkmalen abzuwehren. Bislang ist die Royal-Ransomware in diesem Jahr die zweithäufigste bei den Sophos Incident Response festgestellte Ransomware-Familie.

Weitere Informationen zu diesen Ransomware-Angriffen gibt es im Bericht Clustering Attacker Behavior Reveals Hidden Patterns.

Andere interessante News

Handy Betrug

Vorsicht Abzocke: Hype um iPhone-16-Release lockt Betrüger

Mit dem Hype um den Release des neuen iPhone 16 nutzen Cyberkriminelle die Begeisterung der Apple-Fans schamlos aus: Sie locken ahnungslose Nutzer mit Möglichkeiten für (gefälschte...

Phishing-Mail

Warnung: Mobile Phishing-Angriffe nehmen massiv zu

Vier von fünf Phishing-Seiten zielen speziell auf mobile Geräte ab. Mobile Phishing umfasst Methoden wie SMS-Phishing (Smishing), Voice-Phishing (Vishing), App-, E-Mail- und Social...

Frau bei Videokonferenz

BSI erklärt Videokonferenzdienst Zoom für sicher

Der Videokonferenzanbieter Zoom hat jetzt zwei IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. BSI-Vizepräsident Dr. Gerhard Schab...