ShadowSyndicate - den nye APT, der står bag syv Ransomware-stammer
Cybersikkerhedseksperter har afsløret eksistensen af en ny cyberkriminel gruppe kendt som ShadowSyndicate, tidligere identificeret som Infra Storm. Denne gruppe er mistænkt for at have brugt op til syv forskellige ransomware-familier inden for det seneste år.
ShadowSyndicate karakteriseres som en trusselsaktør, der samarbejder med forskellige ransomware-grupper og tilknyttede ransomware-programmer, som beskrevet i en fælles teknisk rapport fra Group-IB og Bridewell.
Gruppen har været i drift siden 16. juli 2022 og har været forbundet med ransomware-aktiviteter relateret til Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus og Play-stammer. Derudover har de implementeret let tilgængelige post-udnyttelsesværktøjer som Cobalt Strike og Sliver, samt loadere som IcedID og Matanbuchus.
Disse resultater er baseret på identifikation af et særskilt SSH-fingeraftryk (1ca4cbac895fc3bd12417b77fc6ed31d) på 85 servere, hvoraf 52 fungerer som kommando-og-kontrol (C2) for Cobalt Strike. Blandt disse servere er der fundet otte forskellige Cobalt Strike-licensnøgler (eller vandmærker).
Størstedelen af disse servere (23) er placeret i Panama, efterfulgt af Cypern (11), Rusland (9), Seychellerne (8), Costa Rica (7), Tjekkiet (7), Belize (6), Bulgarien (3) , Honduras (3) og Holland (3).
Potentielle bånd til andre cyberkriminelle outfits
Desuden identificerede Group-IB infrastruktur overlapninger, der forbinder ShadowSyndicate til TrickBot, Ryuk/Conti, FIN7 og TrueBot malware operationer. Navnlig har der været tilfælde af IP-adresser knyttet til Cl0p ransomware-tilknyttede selskaber, der har overgået til ShadowSyndicate-ejerskab siden august 2022, hvilket tyder på potentiel infrastrukturdeling mellem disse grupper.
Denne afsløring falder sammen med de tyske retshåndhævende myndigheders annoncering af en anden målrettet operation mod personer tilknyttet DoppelPaymer ransomware-gruppen. Eftersøgningsordrer blev eksekveret mod to mistænkte i Tyskland og Ukraine, som begge angiveligt havde nøgleansvar inden for netværket og drager fordel af indtægter fra ransomwareangreb. Deres identitet er ikke blevet afsløret.
Derudover fremhæver en fælles rådgivning fra US Federal Bureau of Investigation (FBI) og Cybersecurity and Infrastructure Security Agency (CISA) en dobbelt afpresningsaktør kaldet Snatch (tidligere Team Truniger). Denne trusselsgruppe har været rettet mod forskellige kritiske infrastruktursektorer siden midten af 2021 ved at bruge flere metoder til at få netværksadgang og opretholde persistens. Disse metoder omfatter udnyttelse af Remote Desktop Protocol (RDP)-sårbarheder, brute-forcing, erhvervelse af kompromitterede legitimationsoplysninger fra kriminelle fora og brug af taktikker til at undgå opdagelse, såsom genstart af Windows-systemer til fejlsikret tilstand.
