Sophos：勒索軟件間共享資源 正步向組織化

創新網絡安全即服務供應商Sophos公佈最新報告《從組織化網絡攻擊中揭示最新的攻擊行為》，並針對三個活躍的黑客組織進行研究，發現集團之間的犯案模式相近，他們正共享資源或特定的網絡攻擊技術。

勒索軟件集團犯案技術相似

從今年1 月開始，Sophos X-Ops團隊正式開展為期三個月的調查，當中共發現四宗形式相似的網絡攻擊，並涉及Hive、Black Basta、Royal等組織。雖然Royal為「地下組織」且從不對外招攬成員，但Sophos於鑑辨攻擊的過程則發現其犯案技術相似。現時，Sophos將相關攻擊歸類為「組織化網絡威脅」且持續追蹤和監控事故，務求協助防禦人員加快偵測和回應的速度。

Sophos首席研究員Andrew Brandt表示：「由於勒索軟件即服務(ransomware-as-a-service)需由外間附屬組織方能執行攻擊程序，因此不同勒索軟件組織間互通策略、技術和程序(TTP)的情況並不罕見。雖然如此，我們從上述的罪案中則發展非常細微的相似之處，反映Royal超乎預期地依賴其他組織。」

在多宗罪案之中，Sophos團隊主要發現以下的共通之處，包括：

• 攻擊者接管受害人的系統時，會使用相同的特定使用者名稱和密碼
• 以受害組織名稱命名 .7z 壓縮檔，並於檔案加入最終負載
• 在遭感染的系統上使用相同批次的指令碼和檔案

及後， Sophos X-Ops團隊於長達三個月的調查後，最終成功找出四宗攻擊事故間的聯繫。在攻擊時序上，第一宗與Hive 有關聯的事故發生於2023年1月，而Royal亦於同年2月和3月發動攻擊，以及Black Basta於3月發動攻擊。由於美國聯邦調查局(FBI)於今年1 月底的執法行動成功瓦解Hive，大部分成員難以再次於網絡世界活躍，所以成員藉此加入Royal和Black Basta，有機會令後續攻擊因此變得相似。

由於多宗事故間有許多雷同之處，因此Sophos X-Ops團隊開始視四宗事故歸類為「組織化網絡威脅」且持續追蹤和監控事故。

Andrew Brandt續指：「無疑歸類攻擊事故有助找出攻擊源頭，但當研究人員只著眼找出攻擊者的身份時，機構將有機會錯過加強系統防禦的黃金時間。相反，若然機構以理解攻擊行為的明確特徵為目標，則有助託管式偵測團隊更快更主動地處理事故，並能讓安全服務供應商為客戶定立更強大的系統防禦措施。其實，只要對攻擊行為有充分理解，防禦人員則無需過份在意攻擊者的身份。無論是否面對由Royal、Black Basta或其他組織，受害機構都必須制定適切的安全措施，方能阻擋特徵相同的後續攻擊。」