ShadowSyndicate - den nye APT som er bak syv ransomware-stammer
Eksperter på nettsikkerhet har avslørt eksistensen av en ny nettkriminell gruppe kjent som ShadowSyndicate, tidligere identifisert som Infra Storm. Denne gruppen er mistenkt for å ha brukt opptil syv forskjellige løsepengevarefamilier i løpet av det siste året.
ShadowSyndicate karakteriseres som en trusselaktør som samarbeider med ulike løsepengevaregrupper og tilknyttede selskaper til løsepengeprogrammer, som beskrevet i en felles teknisk rapport fra Group-IB og Bridewell.
Gruppen har vært i drift siden 16. juli 2022 og har vært assosiert med løsepengevareaktiviteter relatert til Quantum-, Nokoyawa-, BlackCat-, Royal-, Cl0p-, Cactus- og Play-stammer. I tillegg har de distribuert lett tilgjengelige post-utnyttelsesverktøy som Cobalt Strike og Sliver, samt lastere som IcedID og Matanbuchus.
Disse funnene er basert på identifiseringen av et distinkt SSH-fingeravtrykk (1ca4cbac895fc3bd12417b77fc6ed31d) på 85 servere, hvorav 52 fungerer som kommando-og-kontroll (C2) for Cobalt Strike. Blant disse serverne har åtte forskjellige Cobalt Strike-lisensnøkler (eller vannmerker) blitt oppdaget.
Flertallet av disse serverne (23) er lokalisert i Panama, etterfulgt av Kypros (11), Russland (9), Seychellene (8), Costa Rica (7), Tsjekkia (7), Belize (6), Bulgaria (3) , Honduras (3) og Nederland (3).
Potensielle bånd til andre nettkriminelle antrekk
Videre identifiserte Group-IB infrastruktur overlapper som kobler ShadowSyndicate til TrickBot, Ryuk/Conti, FIN7 og TrueBot malware operasjoner. Spesielt har det vært tilfeller av IP-adresser knyttet til Cl0p ransomware-tilknyttede selskaper som har gått over til ShadowSyndicate-eierskap siden august 2022, noe som tyder på potensiell deling av infrastruktur mellom disse gruppene.
Denne avsløringen faller sammen med tyske rettshåndhevelsesmyndigheters kunngjøring om en andre målrettet operasjon mot personer tilknyttet DoppelPaymer løsepengevaregruppen. Ransomingsordre ble henrettet mot to mistenkte i Tyskland og Ukraina, begge angivelig å ha nøkkelansvar i nettverket og dra fordel av inntektene fra løsepengevareangrep. Identiteten deres er ikke avslørt.
I tillegg fremhever et felles råd fra US Federal Bureau of Investigation (FBI) og Cybersecurity and Infrastructure Security Agency (CISA) en dobbel utpressingsaktør kalt Snatch (tidligere Team Truniger). Denne trusselgruppen har vært rettet mot ulike kritiske infrastruktursektorer siden midten av 2021, ved å bruke flere metoder for å få nettverkstilgang og opprettholde utholdenhet. Disse metodene inkluderer utnyttelse av Remote Desktop Protocol (RDP)-sårbarheter, brute-forcing, innhenting av kompromittert legitimasjon fra kriminelle fora og bruk av taktikker for å unngå gjenkjenning, for eksempel omstart av Windows-systemer til sikkermodus.
