Ataques recientes sugieren que los tres grupos de ransomware están compartiendo guías o afiliados

OXFORD, U.K. — Agosto 8, 2023 —

Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, publicó nuevos hallazgos sobre las conexiones entre los grupos de ransomware más destacados el año pasado, incluido Royal, en su informe, “Clustering Attacker Behavior Revela patrones ocultos”. En el transcurso de tres meses a partir de enero de 2023, Sophos X-Ops investigó cuatro ataques de ransomware diferentes, uno que involucraba a Hive, dos de Royal y uno de Black Basta, y notó distintas similitudes entre los ataques. A pesar de que Royal es un grupo notoriamente cerrado que no solicita afiliados de foros clandestinos abiertamente, las similitudes granulares en el análisis forense de los ataques sugieren que los tres grupos comparten afiliados o detalles técnicos muy específicos de sus actividades. Sophos está rastreando y monitoreando los ataques como un "grupo de actividad de amenazas" que los defensores pueden usar para acelerar los tiempos de detección y respuesta.

“Debido a que el modelo de ransomware como servicio requiere afiliados externos para llevar a cabo ataques, no es raro que haya un cruce en las tácticas, técnicas y procedimientos (TTP) entre estos diferentes grupos de ransomware. Sin embargo, en estos casos, las similitudes de las que estamos hablando están en un nivel muy granular. Estos comportamientos únicos y altamente específicos sugieren que el grupo de ransomware Royal depende mucho más de los afiliados de lo que se pensaba anteriormente. Los nuevos conocimientos que hemos obtenido sobre el trabajo de Royal con los afiliados y los posibles vínculos con otros grupos hablan del valor de las investigaciones forenses en profundidad de Sophos”, dijo Andrew Brandt, investigador principal de Sophos

Las similitudes únicas incluyen el uso de los mismos nombres de usuario y contraseñas específicos cuando los atacantes se apoderaron de los sistemas de los objetivos, entregando la carga útil final en un archivo .7z con el nombre de la organización víctima y ejecutando comandos en los sistemas infectados con los mismos scripts y archivos por lotes.

Sophos X-Ops logró descubrir estas conexiones luego de una investigación de tres meses sobre cuatro ataques de ransomware. El primer ataque involucró el ransomware Hive en enero de 2023. A esto le siguieron los ataques de Royals en febrero y marzo de 2023 y, más tarde, en marzo, el de Black Basta. Cerca de fines de enero de este año, una gran parte de la operación de Hive se disolvió luego de una operación encubierta del FBI. Esta operación podría haber llevado a los afiliados de Hive a buscar un nuevo empleo, tal vez con Royal y Black Basta, lo que explicaría las similitudes en los ataques de ransomware posteriores.

Debido a las similitudes entre estos ataques, Sophos X-Ops comenzó a rastrear los cuatro incidentes de ransomware como un grupo de actividades de amenazas.

“Si bien los grupos de actividades de amenazas pueden ser un trampolín para la atribución, cuando los investigadores se enfocan demasiado en el 'quién' de un ataque, pueden perder oportunidades críticas para fortalecer las defensas. Conocer el comportamiento altamente específico de los atacantes ayuda a los equipos administrados de detección y respuesta a reaccionar más rápido a los ataques activos. También ayuda a los proveedores de seguridad a crear protecciones más sólidas para los clientes. Cuando las protecciones se basan en comportamientos, no importa quién esté atacando (Royal, Black Basta u otro), las víctimas potenciales tendrán las medidas de seguridad necesarias para bloquear ataques posteriores que muestren algunas de las mismas características distintas”, dijo Brandt.

Más información sobre estos ataques de ransomware está disponible en el artículo "Clustering Attacker Behavior Reveals Hidden Patterns".

Acerca de Sophos

Sophos es un líder mundial e innovador de soluciones de seguridad avanzadas para derrotar a los ciberataques. La compañía adquirió Secureworks en Febrero 2025, uniendo a dos pioneros que han redefinido la industria de la ciberseguridad con sus innovadores servicios, tecnologías y productos nativos optimizados para IA. Sophos es ahora el mayor proveedor de Detección y Respuesta Gestionados (MDR), dando soporte a más de 28.000 organizaciones. Además de MDR y otros servicios, la cartera completa de Sophos incluye endpoint, red, correo electrónico y seguridad en la nube líderes en la industria que interoperan y se adaptan para defender a través de la plataforma Sophos Central. Secureworks ofrece el innovador Taegis XDR/MDR, líder del mercado, detección y respuesta a amenazas de identidad (ITDR), capacidades SIEM de última generación, riesgo gestionado y un conjunto completo de servicios de asesoramiento. Sophos vende todas estas soluciones a través de su red de partners, proveedores de servicios gestionados (MSP) y proveedores de servicios de seguridad gestionados (MSSP) en todo el mundo, defendiendo a más de 600.000 organizaciones en todo el mundo del phishing, ransomware, robo de datos y otros ciberdelitos state-sponsored cotidianos. Las soluciones se basan en la información sobre amenazas histórica y en tiempo real de Sophos X-Ops y la recién añadida Counter Threat Unit (CTU). Sophos tiene su sede en Oxford, Reino Unido. Más información en es.sophos.com.