ShadowSyndicate - το νέο APT που βρίσκεται πίσω από επτά στελέχη Ransomware

Εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας αποκάλυψαν την ύπαρξη μιας νέας ομάδας κυβερνοεγκληματικότητας γνωστής ως ShadowSyndicate, η οποία προηγουμένως προσδιοριζόταν ως Infra Storm. Αυτή η ομάδα θεωρείται ύποπτη ότι χρησιμοποίησε έως και επτά διαφορετικές οικογένειες ransomware τον περασμένο χρόνο.

Το ShadowSyndicate χαρακτηρίζεται ως παράγοντας απειλής που συνεργάζεται με διάφορες ομάδες ransomware και θυγατρικές προγραμμάτων ransomware, όπως περιγράφεται λεπτομερώς σε κοινή τεχνική έκθεση των Group-IB και Bridewell.

Λειτουργώντας από τις 16 Ιουλίου 2022, η ομάδα έχει συσχετιστεί με δραστηριότητες ransomware που σχετίζονται με στελέχη Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus και Play. Επιπλέον, έχουν αναπτύξει άμεσα διαθέσιμα εργαλεία μετά την εκμετάλλευση, όπως το Cobalt Strike και το Sliver, καθώς και φορτωτές όπως το IcedID και το Matanbuchus.

Αυτά τα ευρήματα βασίζονται στην αναγνώριση ενός διακριτού δακτυλικού αποτυπώματος SSH (1ca4cbac895fc3bd12417b77fc6ed31d) σε 85 διακομιστές, με 52 να χρησιμεύουν ως εντολή-και-έλεγχος (C2) για το Cobalt Strike. Μεταξύ αυτών των διακομιστών, έχουν εντοπιστεί οκτώ διαφορετικά κλειδιά άδειας χρήσης Cobalt Strike (ή υδατογραφήματα).

Η πλειονότητα αυτών των διακομιστών (23) βρίσκονται στον Παναμά και ακολουθούν η Κύπρος (11), η Ρωσία (9), οι Σεϋχέλλες (8), η Κόστα Ρίκα (7), η Τσεχία (7), η Μπελίζ (6), η Βουλγαρία (3) , Ονδούρα (3) και Ολλανδία (3).

Πιθανοί δεσμοί με άλλες εξαρτήσεις κυβερνοεγκληματιών

Επιπλέον, το Group-IB ταυτοποίησε επικαλύψεις υποδομής που συνδέουν το ShadowSyndicate με τις λειτουργίες κακόβουλου λογισμικού TrickBot, Ryuk/Conti, FIN7 και TrueBot. Σημειωτέον, από τον Αύγουστο του 2022 υπήρξαν περιπτώσεις διευθύνσεων IP που συνδέονται με θυγατρικές ransomware Cl0p στην ιδιοκτησία ShadowSyndicate, υποδηλώνοντας πιθανή κοινή χρήση υποδομής μεταξύ αυτών των ομάδων.

Αυτή η αποκάλυψη συμπίπτει με την ανακοίνωση των γερμανικών αρχών επιβολής του νόμου για μια δεύτερη στοχευμένη επιχείρηση εναντίον ατόμων που σχετίζονται με την ομάδα ransomware DoppelPaymer. Εκτελέστηκαν εντάλματα έρευνας σε βάρος δύο υπόπτων στη Γερμανία και την Ουκρανία, οι οποίοι φέρονται να κατέχουν βασικές ευθύνες εντός του δικτύου και να επωφελούνται από έσοδα από επιθέσεις ransomware. Οι ταυτότητές τους δεν έχουν γίνει γνωστές.

Επιπλέον, μια κοινή συμβουλευτική από το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI) και την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) τονίζει έναν διπλό εκβιασμό που ονομάζεται Snatch (πρώην Team Truniger). Αυτή η ομάδα απειλών στοχεύει διάφορους τομείς υποδομής ζωτικής σημασίας από τα μέσα του 2021, χρησιμοποιώντας πολλαπλές μεθόδους για να αποκτήσει πρόσβαση στο δίκτυο και να διατηρήσει την επιμονή. Αυτές οι μέθοδοι περιλαμβάνουν την εκμετάλλευση ευπαθειών του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP), την ωμή επιβολή, την απόκτηση παραβιασμένων διαπιστευτηρίων από εγκληματικά φόρουμ και τη χρήση τακτικών για την αποφυγή εντοπισμού, όπως η επανεκκίνηση των συστημάτων των Windows σε ασφαλή λειτουργία.