Sophos 發現勒索軟件Hive、Royal 和 Black Basta間的最新網絡威脅動向

Sophos 發現勒索軟件HiveRoyal  Black Basta間的最新網絡威脅動向

三款勒索軟件採用相同犯案手法 揭示網絡攻擊正逐向組織化

 

Sophos 為旨在提供創新網絡安全即服務的全球領導廠商,今天公佈最新報告《從組織化網絡攻擊中揭示最新的攻擊行為》,並針對三個活躍的黑客組織進行研究,結果發現集團之間的犯案模式相近。從今年1 月開始,Sophos X-Ops 團隊正式開展為期三個月的調查,當中共發現四宗形式相似的網絡攻擊,並涉及Hive、Black Basta、Royal等組織。雖然 Royal 為「地下組織」且從不對外招攬成員,但Sophos於鑑辨攻擊的過程則發現其犯案技術相似,反映他們正共享資源或特定的網絡攻擊技術。現時,Sophos 將相關攻擊歸類為「組織化網絡威脅」且持續追蹤和監控事故,務求協助防禦人員加快偵測和回應的速度

Sophos 首席研究員 Andrew Brandt 表示:「由於勒索軟件即服務(ransomware-as-a-service)需由外間附屬組織方能執行攻擊程序,因此不同勒索軟件組織間互通策略、技術和程序 (TTP)的情況並不罕見。雖然如此,我們從上述的罪案中則發展非常細微的相似之處,反映Royal超乎預期地依賴其他組織。」

在多宗罪案之中,Sophos團隊主要發現以下的共通之處,包括:

  • 攻擊者接管受害人的系統時,會使用相同的特定使用者名稱和密碼
  • 以受害組織名稱命名 .7z 壓縮檔,並於檔案加入最終負載
  • 在遭感染的系統上使用相同批次的指令碼和檔案

及後, Sophos X-Ops團隊於長達三個月的調查後,最終成功找出四宗攻擊事故間的聯繫。在攻擊時序上,第一宗與Hive 有關聯的事故發生於2023 年 1 月,而Royal亦於同年 2 月和 3 月發動攻擊,以及Black Basta於3 月發動攻擊。由於美國聯邦調查局(FBI)於今年1 月底的執法行動成功瓦解Hive,大部分成員難以再次於網絡世界活躍,所以成員藉此加入 Royal 和 Black Basta,有機會令後續攻擊因此變得相似。

由於多宗事故間有許多雷同之處,因此Sophos X-Ops 團隊開始視四宗事故歸類為「組織化網絡威脅」且持續追蹤和監控事故。

Andrew Brandt 續指:「無疑歸類攻擊事故有助找出攻擊源頭,但當研究人員只著眼找出攻擊者的身份時,機構將有機會錯過加強系統防禦的黃金時間。相反,若然機構以理解攻擊行為的明確特徵為目標,則有助託管式偵測團隊更快更主動地處理事故,並能讓安全服務供應商為客戶定立更強大的系統防禦措施。其實,只要對攻擊行為有充分理解,防禦人員則無需過份在意攻擊者的身份。無論是否面對由Royal、Black Basta或其他組織,受害機構都必須制定適切的安全措施,方能阻擋特徵相同的後續攻擊。」

如欲了解更多相關攻擊的資訊,請參閱《從組織化網絡攻擊中揭示最新的攻擊行為》。

數碼領域

中電金信推出強大的 AI 驅動端到端解決方案,改變企業軟件測試模式

數碼領域
2024-12-19 0
中電金信推出強大的 AI 驅動端到端解決方案, 改變企業軟件測試模式   新一代卓越測試中心(TCoE 3.0)結合人工智能、機器學習和自動化技術, 提升企業軟件測試的速度、靈活性和效率 數碼化轉型專家中電金信推出功能強大的卓越測試中心(TCoE 3.0) 解決方案,改變企業對軟件測試的方式。TCo ...

Arlo 智能攝影機限時優惠:向親友送上最「安心」的聖誕禮物

數碼領域
2024-12-17 0
Arlo 智能攝影機限時優惠:向親友送上最「安心」的聖誕禮物   聖誕佳節即將來臨,讓 Arlo 的智能產品為您的家提供全方位的保護,確保您和摯愛可以安心地享受這個假期。 來自美國,領先的無線網絡攝影機品牌 Arlo 的香港總代理永高(太平洋)有限公司將於12月16日至12月26日期間,為Arlo旗 ...

Be the first to comment

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料