ShadowSyndicate: el nuevo APT que está detrás de siete cepas de ransomware
Expertos en ciberseguridad han revelado la existencia de un nuevo grupo cibercriminal conocido como ShadowSyndicate, anteriormente identificado como Infra Storm. Se sospecha que este grupo ha utilizado hasta siete familias de ransomware diferentes durante el año pasado.
ShadowSyndicate se caracteriza por ser un actor de amenazas que colabora con varios grupos de ransomware y afiliados de programas de ransomware, como se detalla en un informe técnico conjunto de Group-IB y Bridewell.
En funcionamiento desde el 16 de julio de 2022, el grupo ha estado asociado con actividades de ransomware relacionadas con las cepas Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus y Play. Además, han implementado herramientas posteriores a la explotación disponibles como Cobalt Strike y Sliver, así como cargadores como IcedID y Matanbuchus.
Estos hallazgos se basan en la identificación de una huella digital SSH distinta (1ca4cbac895fc3bd12417b77fc6ed31d) en 85 servidores, 52 de los cuales sirven como comando y control (C2) para Cobalt Strike. Entre estos servidores, se han detectado ocho claves de licencia (o marcas de agua) diferentes de Cobalt Strike.
La mayoría de estos servidores (23) están situados en Panamá, seguido de Chipre (11), Rusia (9), Seychelles (8), Costa Rica (7), Chequia (7), Belice (6), Bulgaria (3). , Honduras (3) y Países Bajos (3).
Posibles vínculos con otros grupos de ciberdelincuentes
Además, Group-IB identificó superposiciones de infraestructura que conectan ShadowSyndicate con las operaciones de malware TrickBot, Ryuk/Conti, FIN7 y TrueBot. En particular, ha habido casos de direcciones IP vinculadas a afiliados de ransomware Cl0p que pasaron a ser propiedad de ShadowSyndicate desde agosto de 2022, lo que sugiere un posible intercambio de infraestructura entre estos grupos.
Esta revelación coincide con el anuncio de las autoridades policiales alemanas de una segunda operación dirigida contra personas asociadas con el grupo de ransomware DoppelPaymer. Se ejecutaron órdenes de registro contra dos sospechosos en Alemania y Ucrania, ambos supuestamente con responsabilidades clave dentro de la red y beneficiándose de los ingresos del ataque de ransomware. Sus identidades no han sido reveladas.
Además, un aviso conjunto de la Oficina Federal de Investigaciones (FBI) de EE. UU. y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) destaca a un actor de doble extorsión llamado Snatch (anteriormente Team Truniger). Este grupo de amenazas ha estado apuntando a varios sectores de infraestructura crítica desde mediados de 2021, utilizando múltiples métodos para obtener acceso a la red y mantener la persistencia. Estos métodos incluyen explotar las vulnerabilidades del Protocolo de escritorio remoto (RDP), fuerza bruta, adquirir credenciales comprometidas de foros criminales y emplear tácticas para evadir la detección, como reiniciar los sistemas Windows en modo seguro.
