ShadowSyndicate – das neue APT, das hinter sieben Ransomware-Stämmen steckt

Cybersicherheitsexperten haben die Existenz einer neuen Cyberkriminellengruppe namens ShadowSyndicate aufgedeckt, die zuvor als Infra Storm bekannt war. Es wird vermutet, dass diese Gruppe im vergangenen Jahr bis zu sieben verschiedene Ransomware-Familien eingesetzt hat.

ShadowSyndicate wird als Bedrohungsakteur charakterisiert, der mit verschiedenen Ransomware-Gruppen und Partnern von Ransomware-Programmen zusammenarbeitet, wie in einem gemeinsamen technischen Bericht von Group-IB und Bridewell beschrieben.

Die Gruppe ist seit dem 16. Juli 2022 tätig und wird mit Ransomware-Aktivitäten im Zusammenhang mit den Stämmen Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus und Play in Verbindung gebracht. Darüber hinaus haben sie leicht verfügbare Post-Exploitation-Tools wie Cobalt Strike und Sliver sowie Loader wie IcedID und Matanbuchus eingesetzt.

Diese Ergebnisse basieren auf der Identifizierung eines eindeutigen SSH-Fingerabdrucks (1ca4cbac895fc3bd12417b77fc6ed31d) auf 85 Servern, von denen 52 als Command-and-Control (C2) für Cobalt Strike dienen. Unter diesen Servern wurden acht verschiedene Cobalt Strike-Lizenzschlüssel (oder Wasserzeichen) entdeckt.

Die meisten dieser Server (23) befinden sich in Panama, gefolgt von Zypern (11), Russland (9), den Seychellen (8), Costa Rica (7), Tschechien (7), Belize (6) und Bulgarien (3). , Honduras (3) und die Niederlande (3).

Mögliche Verbindungen zu anderen Cyberkriminellen

Darüber hinaus stellte Group-IB Überschneidungen in der Infrastruktur fest, die ShadowSyndicate mit den Malware-Operationen TrickBot, Ryuk/Conti, FIN7 und TrueBot verbinden. Insbesondere gab es Fälle, in denen IP-Adressen, die mit Cl0p-Ransomware-Partnern verknüpft waren, seit August 2022 in den Besitz von ShadowSyndicate übergingen, was auf eine mögliche gemeinsame Nutzung der Infrastruktur zwischen diesen Gruppen hindeutet.

Diese Enthüllung fällt mit der Ankündigung einer zweiten gezielten Operation gegen Personen zusammen, die mit der Ransomware-Gruppe DoppelPaymer in Verbindung stehen. Gegen zwei Verdächtige in Deutschland und der Ukraine wurden Durchsuchungsbefehle erlassen, die angeblich Schlüsselverantwortliche innerhalb des Netzwerks innehatten und von Erlösen aus Ransomware-Angriffen profitierten. Ihre Identität wurde nicht bekannt gegeben.

Darüber hinaus wird in einem gemeinsamen Gutachten des US-amerikanischen Federal Bureau of Investigation (FBI) und der Cybersecurity and Infrastructure Security Agency (CISA) ein doppelter Erpresser namens Snatch (ehemals Team Truniger) hervorgehoben. Diese Bedrohungsgruppe hat seit Mitte 2021 verschiedene kritische Infrastruktursektoren ins Visier genommen und nutzt mehrere Methoden, um Netzwerkzugriff zu erlangen und die Persistenz aufrechtzuerhalten. Zu diesen Methoden gehören das Ausnutzen von RDP-Schwachstellen (Remote Desktop Protocol), Brute-Force, der Erwerb kompromittierter Zugangsdaten aus kriminellen Foren und der Einsatz von Taktiken, um einer Entdeckung zu entgehen, wie z. B. das Neustarten von Windows-Systemen im abgesicherten Modus.