סופוס: חשד כי קבוצות הכופר משתפות ביניהן פעולה וידע

סופוס, חברת אבטחת המידע והסייבר המובילה וספקית פתרונות אבטחת סייבר כשירות, פרסמה מחקר בשם Clustering Attacker Behavior Reveals Hidden Patterns ובו גילויים חדשים על שיתוף פעולה בין קבוצות כופר מובילות. בינואר 2023, החל צוות Sophos X-Ops לחקור שורה של מתקפות כופר שהתרחשו על פני תקופה של שלושה חודשים: מתקפה אחת של קבוצת Hive, שתי מתקפות של קבוצת Royal ומתקפה אחת של קבוצת Black Basta. קבוצת הכופר Royal ידועה כקבוצה סגורה שלא מחפשת שיתופי פעולה באופן גלוי ברשת האפלה, אך ניתוח פורנזי יסודי של המתקפות מעלה חשד כי שלוש קבוצות הכופר האלו משתפות ביניהן פעולה או לכל הפחות מחליפות ידע וניסיון. סופוס עוקבת אחרי המתקפות ומנטרת אותן כאשכול איומים שבו יכולים להיעזר אנשי ונשות הגנת הסייבר לשיפור יעילות הזיהוי ולקיצור זמני התגובה.

"מכיוון שמודל הכופר כשירות פועל במודל מיקור חוץ, לא נדיר למצוא דמיון מסוים בטקטיקות, שיטות ותהליכים (TTP) בין מתקפות כופר שונות. מה שמיוחד בממצאים החדשים הוא שהם חושפים דמיון בשיטות הפעולה גם בפרטים הקטנים ביותר, שמעלה חשד כי קבוצת Royal נשענת על שיתופי פעולה יותר ממה שהערכנו עד כה. הזיקה הסמויה שהתגלתה בין קבוצת Royal לקבוצות כופר אחרות ממחישה את חשיבותן של החקירות הפורנזיות של סופוס", אומר אנדרו ברנדט, חוקר איומי אבטחה ראשי בסופוס.

כל המתקפות שנחקרו השתמשו באותם שמות משתמשים וסיסמאות כדי להשתלט על המערכת המותקפת, בכולן הושתל הקוד הזדוני באמצעות קובץ 7z שנשא את שם הארגון המותקף ואותם סקריפטים וקבצים שימשו להרצת הפקודות הזדוניות במערכות המותקפות.

צוות Sophos X-Ops הצליח לחשוף את הזיקה הסמויה הזאת בין ארבע מתקפות הכופר בתום חקירה שנמשכה שלושה חודשים. מתקפת הכופר הראשונה שנחקרה בוצעה על ידי קבוצת Hive בינואר 2023. לאחריה נחקרו שתי מתקפות של קבוצת Royal בפברואר ובמרץ 2023 ומתקפה נוספת של קבוצת Black Basta, גם היא במרץ 2023. בסוף ינואר, הצליח ה־FBI להסתנן אל שורות קבוצת הכופר Hive בתרגיל עוקץ מתוחכם שהוביל לפירוקה. לא מן הנמנע כי חלק מהקבוצות שעליהן נשענה פעילותה של קבוצת Hive ולפתע מצאו עצמן מחוסרות עבודה, חברו אל קבוצות Royal ו־Black Basta ומכאן הדמיון הרב בין המתקפות.

לנוכח הדמיון הרב בין ארבע מתקפות הכופר האלו, הוחלט בצוות Sophos X-Ops לעקוב אחריהן כאשכול איומים אחד.

"אשכול איומים הוא כלי שימושי לצורך שיוך אירוע סייבר לקבוצת תקיפה מסוימת, אך התמקדות יתרה בזהות התוקפים מחטיאה את המטרה. ההיכרות לפרטי פרטים עם דרכי הפעולה של קבוצות תקיפה מסוימות מסייעת לצוותי הזיהוי והתגובה המנוהלים לפעול בצורה תכליתית ומהירה יותר. היא גם מסייעת לשפר את יעילותם של אמצעי אבטחת הסייבר האוטומטיים בארגון. מרגע שידועות שיטות הפעולה, זהות התוקפים פחות חשובה; אין זה משנה אם במתקפה מעורבת קבוצת Royal, Black Basta או כל קבוצה אחרת, כל עוד יש בידי הארגונים את הידע והאמצעים לסכל מתקפות דומות בעתיד", מסביר ברנדט.

על פי הנתונים של צוות התגובה לאירועי סייבר של סופוס, מבין כל מתקפות הכופר שאירעו מאז תחילת השנה, תופסות מתקפות הכופר של קבוצת Royal את המקום השני.