Sophos kondigt in het whitepaper Active Adversary van Sophos X-Ops met de titel Multiple Attackers: A Clear and Present Danger aan dat Hive, LockBit en BlackCat, drie prominente ransomwaregroepen, achtereenvolgens hetzelfde netwerk aangevallen hebben.
Tussen de twee eerste aanvallen zat een interval van twee uur; de derde aanval vond twee weken later plaats. Iedere groep eiste zijn eigen losgeldsom, en sommige bestanden werden drievoudig versleuteld.
“Eén losgeldeis is al lastig genoeg, laat staan drie na elkaar”, aldus John Shier op, senior veiligheidsadviseur bij Sophos. “Meerdere aanvallen maken het aanzienlijk ingewikkelder om de gegevens terug te krijgen, zeker wanneer de bestanden van het netwerk drie keer versleuteld zijn. Cyberbeveiliging die incidenten niet alleen voorkomt, maar ook detecteert en erop reageert is dus onmisbaar voor ieder bedrijf, ongeacht omvang of type, want niets of niemand is veilig.”
Het whitepaper brengt ook andere gevallen van gelijktijdige cyberaanvallen aan het licht, waarbij gebruik werd gemaakt van cryptomining, RAT-virussen (Remote Access Trojans) en bots. In het verleden spreidden kwaadwillige groepen hun aanvallen over maanden of zelfs jaren uit wanneer ze hetzelfde systeem wilden aanvallen. De aanvallen die Sophos beschrijft vonden echter in de loop van enkele dagen of weken plaats – en in één geval zelfs gelijktijdig. De verschillende daders drongen het netwerk van het doelwit allemaal via hetzelfde kwetsbare toegangspunt binnen.
Normaal gezien concurreren cybercriminelen om middelen, wat gelijktijdige aanvallen moeilijker maakt. Cryptominers neutraliseren bijvoorbeeld concurrenten op hetzelfde systeem, terwijl RAT-virussen op gespecialiseerde fora pronken met hun bedrevenheid in het uitschakelen van bots. Bij de aanvallen van de drie ransomwaregroepen heeft BlackCat, de laatste die het systeem binnendrong, echter niet alleen zijn eigen sporen gewist, maar ook die van LockBit en Hive. Daarnaast infecteerde LockBit nog een ander systeem. Ongeveer drie maanden later gebruikten leden van Karakurt Team, een groep die banden zou hebben met Conti, de backdoor die LockBit had gecreëerd om gegevens te stelen en losgeld te eisen van de eigenaar.
“Over het algemeen lijkt er geen openlijke vijandigheid te bestaan tussen de verschillende ransomwaregroepen. LockBit verbiedt zijn leden inderdaad niet expliciet om samen te werken met concurrenten, zoals ook in het whitepaper van Sophos staat”, benadrukt John Shier. “We hebben geen bewijs van dergelijke samenwerkingen, maar het is mogelijk dat cyberaanvallers doorhebben dat er slechts een beperkt aantal ‘middelen’ bestaat op een markt waar de concurrentie steeds heviger wordt. Een andere mogelijkheid is dat ze ervan uitgaan dat slachtoffers meer geneigd zullen zijn om het losgeld te betalen naarmate ze meer onder druk gezet worden (met meervoudige aanvallen). Misschien overleggen ze op het hoogste niveau hoe ze de taken en buit zullen verdelen: de ene groep versleutelt de gegevens, terwijl de andere de terugtrekking verzorgt. Vroeg of laat zullen de groepen moeten beslissen of ze die samenwerking willen voortzetten of opnieuw concurrenten willen worden, maar op dit moment kunnen verschillende daders in alle vrijheid meervoudige aanvallen uitvoeren.”
