ShadowSyndicate: il nuovo APT che sta dietro a sette ceppi di ransomware
Gli esperti di sicurezza informatica hanno rivelato l’esistenza di un nuovo gruppo criminale informatico noto come ShadowSyndicate, precedentemente identificato come Infra Storm. Si sospetta che questo gruppo abbia utilizzato fino a sette diverse famiglie di ransomware nell'ultimo anno.
ShadowSyndicate si caratterizza come un attore di minacce che collabora con vari gruppi di ransomware e affiliati di programmi ransomware, come dettagliato in un rapporto tecnico congiunto di Group-IB e Bridewell.
Operativo dal 16 luglio 2022, il gruppo è stato associato ad attività di ransomware relative ai ceppi Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus e Play. Inoltre, hanno implementato strumenti post-sfruttamento prontamente disponibili come Cobalt Strike e Sliver, nonché caricatori come IcedID e Matanbuchus.
Questi risultati si basano sull'identificazione di un'impronta digitale SSH distinta (1ca4cbac895fc3bd12417b77fc6ed31d) su 85 server, di cui 52 che fungono da comando e controllo (C2) per Cobalt Strike. Tra questi server sono state rilevate otto diverse chiavi di licenza (o filigrane) di Cobalt Strike.
La maggior parte di questi server (23) si trovano a Panama, seguita da Cipro (11), Russia (9), Seychelles (8), Costa Rica (7), Repubblica Ceca (7), Belize (6), Bulgaria (3) , Honduras (3) e Paesi Bassi (3).
Potenziali legami con altri gruppi criminali informatici
Inoltre, Group-IB ha identificato sovrapposizioni infrastrutturali che collegano ShadowSyndicate alle operazioni malware di TrickBot, Ryuk/Conti, FIN7 e TrueBot. In particolare, ci sono stati casi di indirizzi IP collegati agli affiliati del ransomware Cl0p che sono passati alla proprietà di ShadowSyndicate a partire dall'agosto 2022, suggerendo una potenziale condivisione dell'infrastruttura tra questi gruppi.
Questa rivelazione coincide con l'annuncio da parte delle autorità di polizia tedesche di una seconda operazione mirata contro individui associati al gruppo ransomware DoppelPaymer. Sono stati eseguiti mandati di perquisizione contro due sospettati in Germania e Ucraina, entrambi presumibilmente detentori di responsabilità chiave all'interno della rete e beneficiari dei proventi di attacchi ransomware. Le loro identità non sono state rivelate.
Inoltre, un avviso congiunto del Federal Bureau of Investigation (FBI) e della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti evidenzia un attore di doppia estorsione chiamato Snatch (ex Team Truniger). Questo gruppo di minacce prende di mira vari settori delle infrastrutture critiche dalla metà del 2021, utilizzando molteplici metodi per ottenere l’accesso alla rete e mantenere la persistenza. Questi metodi includono lo sfruttamento delle vulnerabilità del Remote Desktop Protocol (RDP), la forzatura bruta, l'acquisizione di credenziali compromesse da forum criminali e l'impiego di tattiche per eludere il rilevamento, come il riavvio dei sistemi Windows in modalità provvisoria.
