„ShadowSyndicate“ – naujasis APT, kuris yra už septynių „Ransomware“ padermių

Kibernetinio saugumo ekspertai atskleidė, kad egzistuoja nauja kibernetinių nusikaltėlių grupė, žinoma kaip „ShadowSyndicate“, anksčiau vadinta „Infra Storm“. Įtariama, kad ši grupė per pastaruosius metus panaudojo iki septynių skirtingų išpirkos programų šeimų.

„ShadowSyndicate“ apibūdinamas kaip grėsmės veikėjas, bendradarbiaujantis su įvairiomis išpirkos reikalaujančių programų grupėmis ir su išpirkos reikalaujančiomis programomis susijusiomis įmonėmis, kaip išsamiai aprašyta bendroje Group-IB ir Bridewell techninėje ataskaitoje.

Veikianti nuo 2022 m. liepos 16 d., grupė buvo susijusi su išpirkos reikalaujančiomis programomis, susijusiomis su Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus ir Play padermėmis. Be to, jie įdiegė lengvai prieinamus po eksploatavimo įrankius, tokius kaip „Cobalt Strike“ ir „Sliver“, taip pat įkroviklius, tokius kaip „IcedID“ ir „Matanbuchus“.

Šios išvados pagrįstos atskiro SSH piršto atspaudo (1ca4cbac895fc3bd12417b77fc6ed31d) identifikavimu 85 serveriuose, iš kurių 52 tarnauja kaip Cobalt Strike komandų ir valdymo (C2) funkcija. Tarp šių serverių buvo aptikti aštuoni skirtingi Cobalt Strike licencijos raktai (arba vandens ženklai).

Dauguma šių serverių (23) yra Panamoje, po to seka Kipras (11), Rusija (9), Seišeliai (8), Kosta Rika (7), Čekija (7), Belize (6), Bulgarija (3). , Hondūras (3) ir Nyderlandai (3).

Galimi ryšiai su kitais kibernetiniais nusikaltėliais

Be to, Group-IB nustatė infrastruktūros sutapimus, jungiančius „ShadowSyndicate“ su „TrickBot“, „Ryuk/Conti“, „FIN7“ ir „TrueBot“ kenkėjiškų programų operacijomis. Pažymėtina, kad nuo 2022 m. rugpjūčio mėn. buvo atvejų, kai IP adresai, susieti su Cl0p ransomware filialais, perėjo į „ShadowSyndicate“ nuosavybę, o tai rodo galimą infrastruktūros dalijimąsi tarp šių grupių.

Šis atskleidimas sutampa su Vokietijos teisėsaugos institucijų pranešimu apie antrąją tikslinę operaciją prieš asmenis, susijusius su DoppelPaymer išpirkos programų grupe. Kratos orderiai buvo įvykdyti dviem įtariamiesiems Vokietijoje ir Ukrainoje, kurie tariamai turėjo pagrindines pareigas tinkle ir gavo naudos iš išpirkos reikalaujančių programų atakų. Jų tapatybės neatskleidžiamos.

Be to, bendrame JAV Federalinio tyrimų biuro (FTB) ir Kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA) patarime pabrėžiamas dvigubas turto prievartavimo veikėjas, vadinamas Snatch (anksčiau Team Truniger). Ši grėsmių grupė nuo 2021 m. vidurio taikėsi į įvairius ypatingos svarbos infrastruktūros sektorius, naudodama kelis metodus, kad gautų prieigą prie tinklo ir išlaikytų patvarumą. Šie metodai apima nuotolinio darbalaukio protokolo (RDP) pažeidžiamumo išnaudojimą, brutalų prievartą, pažeistų kredencialų gavimą iš kriminalinių forumų ir taktikos taikymą siekiant išvengti aptikimo, pvz., „Windows“ sistemų perkrovimą į saugųjį režimą.