ShadowSyndicate - la nouvelle APT à l'origine de sept souches de ransomwares
Des experts en cybersécurité ont révélé l'existence d'un nouveau groupe cybercriminel connu sous le nom de ShadowSyndicate, précédemment identifié sous le nom d'Infra Storm. Ce groupe est soupçonné d’avoir utilisé jusqu’à sept familles de ransomwares différentes au cours de l’année écoulée.
ShadowSyndicate est caractérisé comme un acteur menaçant collaborant avec divers groupes de ransomwares et affiliés de programmes de ransomwares, comme détaillé dans un rapport technique conjoint de Group-IB et Bridewell.
En activité depuis le 16 juillet 2022, le groupe a été associé à des activités de ransomware liées aux souches Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus et Play. De plus, ils ont déployé des outils de post-exploitation facilement disponibles comme Cobalt Strike et Sliver, ainsi que des chargeurs tels que IcedID et Matanbuchus.
Ces résultats sont basés sur l'identification d'une empreinte SSH distincte (1ca4cbac895fc3bd12417b77fc6ed31d) sur 85 serveurs, dont 52 servent de commande et de contrôle (C2) pour Cobalt Strike. Parmi ces serveurs, huit clés de licence (ou filigranes) Cobalt Strike différentes ont été détectées.
La majorité de ces serveurs (23) sont situés au Panama, suivis de Chypre (11), de la Russie (9), des Seychelles (8), du Costa Rica (7), de la Tchéquie (7), du Belize (6), de la Bulgarie (3). , Honduras (3) et Pays-Bas (3).
Liens potentiels avec d’autres groupes cybercriminels
En outre, Group-IB a identifié des chevauchements d'infrastructure reliant ShadowSyndicate aux opérations de logiciels malveillants TrickBot, Ryuk/Conti, FIN7 et TrueBot. Il y a notamment eu des cas où des adresses IP liées à des affiliés du ransomware Cl0p sont passées à la propriété de ShadowSyndicate depuis août 2022, suggérant un partage potentiel d'infrastructure entre ces groupes.
Cette révélation coïncide avec l'annonce par les forces de l'ordre allemandes d'une deuxième opération ciblée contre des individus associés au groupe de ransomware DoppelPaymer. Des mandats de perquisition ont été exécutés contre deux suspects en Allemagne et en Ukraine, qui occuperaient tous deux des responsabilités clés au sein du réseau et bénéficieraient des revenus des attaques de ransomware. Leurs identités n'ont pas été révélées.
De plus, un avis conjoint du Federal Bureau of Investigation (FBI) des États-Unis et de la Cybersecurity and Infrastructure Security Agency (CISA) met en évidence un double acteur d’extorsion appelé Snatch (anciennement Team Truniger). Ce groupe de menaces cible divers secteurs d’infrastructures critiques depuis la mi-2021, en utilisant plusieurs méthodes pour accéder au réseau et maintenir la persistance. Ces méthodes incluent l'exploitation des vulnérabilités du protocole RDP (Remote Desktop Protocol), le forçage brutal, l'acquisition d'informations d'identification compromises sur des forums criminels et l'utilisation de tactiques pour échapper à la détection, telles que le redémarrage des systèmes Windows en mode sans échec.
