Des attaques récentes laissent penser que ces trois groupes ont des stratégies ou des affiliés en commun

Paris, France — août 8, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie de nouvelles découvertes concernant des liens entre les groupes de ransomwares les plus en vue l’an passé, notamment celui dénommé Royal, dans son étude intitulée Clustering Attacker Behavior Reveals Hidden Patterns. Au cours des trois mois écoulés depuis début janvier 2023, Sophos X-Ops a enquêté sur quatre attaques de ransomwares différentes, dont une imputable au groupe Hive, deux à Royal et la dernière à Black Basta, observant entre elles des similitudes distinctives. Bien que Royal soit réputé être un groupe fermé qui ne recrute pas ouvertement des affiliés sur les forums clandestins, de subtils points communs révélés par l’investigation des attaques laissent penser que ces trois groupes partagent des affiliés ou bien des détails techniques très spécifiques de leurs activités. Sophos suit et surveille ces attaques en tant que « cluster d’activités malveillantes » auquel les cyberdéfenseurs peuvent se référer pour accélérer la détection des menaces et raccourcir leurs temps de réponse. 

« Étant donné que le modèle de Ransomware-as-a-Service nécessite des affiliés extérieurs pour l’exécution des attaques, il n’est pas rare qu’il se produise des croisements entre les tactiques, techniques et procédures (TTP) de ces différents groupes de ransomwares. Cependant, en l’occurrence, les similitudes dont nous parlons se trouvent à un niveau très granulaire. Ces comportements extrêmement spécifiques laissent penser que le groupe Royal fait beaucoup plus appel à des affiliés que nous le pensions jusque-là. Les nouvelles indications que nous avons recueillies sur le travail de Royal auprès d’affiliés et ses possibles liens avec d’autres groupes attestent de la valeur des investigations forensiques approfondies de Sophos », commente Andrew Brandt, chercheur principal chez Sophos. 

Les similitudes distinctives sont notamment l’utilisation des mêmes noms d’utilisateurs et mots de passe spécifiques lorsque les auteurs des attaques prennent le contrôle des systèmes cibles, la diffusion de la charge malveillante dans une archive .7z portant le nom de la victime ou encore l’exécution de commandes sur les systèmes infectés au moyen de fichiers et de scripts batch identiques. 

Sophos X-Ops est parvenu à mettre au jour ces liens à la suite d’une enquête de trois mois portant sur quatre attaques de ransomwares. La première attaque était le fait du groupe Hive en janvier 2023. Elle a été suivie d’attaques lancées par Royal en février et mars 2023 et, toujours en mars, d’une autre provenant de Black Basta. Vers la fin janvier de cette année, une grande partie de l’opération Hive a été démantelée par une intervention « sting » du FBI. Il est possible que cela ait amené des affiliés de Hive à chercher un nouvel employeur – peut-être du côté de Royal et Black Basta – ce qui expliquerait les similitudes relevées dans les attaques de ransomwares ultérieures.

En raison des similitudes entre ces attaques, Sophos X-Ops a commencé à procéder au suivi des quatre incidents de ransomwares comme formant un cluster d’activités malveillantes.

« Alors que les clusters d’activités malveillantes peuvent constituer un pas vers l’attribution, les chercheurs qui se focalisent trop sur l’auteur d’une attaque risquent de laisser passer des opportunités critiques de renforcer leurs défenses. La connaissance du comportement très spécifique des cyberattaquants aide les équipes de détection et de réponse managées à réagir plus rapidement aux attaques actives. Elle permet également aux prestataires de sécurité de mettre en place des protections plus robustes pour leurs clients. Lorsque ces protections reposent sur des comportements, peu importe qui mène l’attaque, que ce soit Royal, Black Basta ou un autre groupe : les victimes potentielles disposeront des mesures de sécurité nécessaires pour bloquer des attaques ultérieures présentant certaines caractéristiques distinctives identiques », conclut Andrew Brandt. 

De plus amples informations sur ces attaques de ransomwares sont disponibles dans l’article Clustering Attacker Behavior Reveals Hidden Patterns.

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. La Société a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native. 
Sophos est désormais le plus grand fournisseur spécialisé de services de détection et réponse managées (MDR) protégeant plus de 28,000 organisations à travers et d’autres services, son portefeuille complet comprend les solutions de sécurité de pointe pour les endpoints, les réseaux, les emails et le cloud, qui interagissent et s’adaptent dynamiquement pour assurer une défense efficace via la plateforme Sophos Central.  
Secureworks apporte à cette alliance ses technologies innovantes et leaders sur le marché, notamment Taegis XDR/MDR, la détection et réponse aux menaces sur l’identité (ITDR), des capacités SIEM nouvelle génération, la gestion des risques ainsi qu’un ensemble complet de services de conseil en cybersécurité.  
Sophos commercialise l’ensemble de ces solutions à travers un réseau mondial de revendeurs, de fournisseurs de services managés (MSP) et de fournisseurs de services de sécurité managés (MSSP), protégeant plus de 600 000 entreprises contre le phishing, les ransomwares, le vol de données et d’autres cybermenaces, qu’elles soient quotidiennes ou menées par des Etats-nations.  
Toutes les solutions sont alimentées par des renseignements sur les menaces en temps réel et historiques issus de Sophos X-Ops et de la Counter Threat Unit (CTU) récemment intégrée.  
Le siège social de Sophos est situé à Oxford, au Royaume-Uni. Pour plus d’informations, consultez le site sophos.fr.