Zebra2104
A BlackBerry Research & Intelligence Team összefüggéseket azonosított három fenyegetési csoport tevékenysége között, amelyet egy összekötöttek egy brókerrel, amelyen keresztül az ügyfeleik igénybe veszik a zsarolóvírus, adathalászat és egyéb kártékony tevékenységeket. A MountLocker és a Phobos, valamint a StrongPity APT csoportok valószínűleg megosztják a tudásukat ezen közvetítőn keresztül.
A kutatás során több egyéb fenyegetéskutató cég elemzését figyelembe vették, így a Microsoft, a Sophos Phobos ransomware és a MountLocker csoportokat vizsgáló jelentései, valamint a Cobalt Strike korábbi vizsgálatai alapján összevetették a már meglévő információkat többet találtak, mint amire számítottak. A három látszólag független fenyegetettségi csoport, amelyek átfedő infrastruktúrát használnak és osztanak meg, végül egy negyedik „játékost” azonosított a kártékony tevékenységek között. A kutatók arra jutottak, hogy az anyagi haszonszerzés köti leginkább össze ezeket a csoportokat a Zebra2104 irányítása alatt. A legvégső következtetés pedig az lett:
HA A ROSSZFIÚK EGYÜTT DOLGOZNAK, AKKOR NEKÜNK IS EGYÜTT KELL!