ShadowSyndicate – az új APT, amely hét Ransomware törzs mögött áll
Kiberbiztonsági szakértők felfedték egy új, ShadowSyndicate néven ismert kiberbűnözői csoport létezését, amelyet korábban Infra Storm néven azonosítottak. Ez a csoport a gyanú szerint hét különböző zsarolóprogram-családot használt fel az elmúlt évben.
A ShadowSyndicate-ot a Group-IB és a Bridewell közös technikai jelentésében részletezettek szerint fenyegető szereplőként jellemzik, amely különböző ransomware csoportokkal és zsarolóprogramok leányvállalataival együttműködik.
A 2022. július 16. óta működő csoport a Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus és Play törzsekkel kapcsolatos zsarolóvírus-tevékenységekkel áll kapcsolatban. Ezenkívül olyan könnyen elérhető, kizsákmányolás utáni eszközöket telepítettek, mint a Cobalt Strike és a Sliver, valamint olyan betöltőket, mint az IcedID és a Matanbuchus.
Ezek a megállapítások egy különálló SSH-ujjlenyomat (1ca4cbac895fc3bd12417b77fc6ed31d) azonosításán alapulnak 85 szerveren, amelyek közül 52 szolgál parancs- és vezérlőként (C2) a Cobalt Strike számára. Ezen szerverek között nyolc különböző Cobalt Strike licenckulcsot (vagy vízjelet) észleltünk.
E szerverek többsége (23) Panamában található, ezt követi Ciprus (11), Oroszország (9), Seychelle-szigetek (8), Costa Rica (7), Csehország (7), Belize (6), Bulgária (3). , Honduras (3) és Hollandia (3).
Lehetséges kapcsolatok más kiberbűnözőkhöz
Ezen túlmenően, a Group-IB azonosított infrastrukturális átfedéseket, amelyek összekötik a ShadowSyndicate-ot a TrickBot, a Ryuk/Conti, a FIN7 és a TrueBot rosszindulatú programokkal. Figyelemre méltó, hogy 2022 augusztusa óta a Cl0p ransomware leányvállalataihoz kapcsolódó IP-címek ShadowSyndicate tulajdonba kerültek, ami arra utal, hogy az infrastruktúra megosztása lehetséges e csoportok között.
Ez a feltárás egybeesik a német bűnüldöző hatóságok bejelentésével egy második célzott akcióról a DoppelPaymer ransomware csoporthoz kapcsolódó személyek ellen. Kutatási parancsot hajtottak végre két gyanúsított ellen Németországban és Ukrajnában, akik állítólag kulcsfontosságú feladatokat töltöttek be a hálózaton belül, és részesültek zsarolóprogram-támadásokból származó bevételből. Kilétüket nem hozták nyilvánosságra.
Ezenkívül az Egyesült Államok Szövetségi Nyomozó Iroda (FBI) és a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) közös tanácsa kiemeli a Snatch (korábban Team Truniger) nevű kettős zsaroló szereplőt. Ez a fenyegetettségi csoport 2021 közepe óta különböző kritikus infrastrukturális szektorokat céloz meg, és többféle módszert alkalmaz a hálózathoz való hozzáférés megszerzésére és a tartósság fenntartására. Ezek a módszerek magukban foglalják a Remote Desktop Protocol (RDP) sebezhetőségeinek kihasználását, a brutális erőltetést, a feltört hitelesítő adatok megszerzését bűnözői fórumoktól, valamint az észlelés elkerülésére szolgáló taktikákat, például a Windows rendszerek csökkentett módba történő újraindítását.