ShadowSyndicate - de nieuwe APT die achter zeven soorten ransomware zit
Cybersecurity-experts hebben het bestaan onthuld van een nieuwe cybercriminele groep, bekend als ShadowSyndicate, voorheen geïdentificeerd als Infra Storm. Deze groep wordt ervan verdacht het afgelopen jaar maar liefst zeven verschillende ransomwarefamilies te hebben gebruikt.
ShadowSyndicate wordt gekarakteriseerd als een bedreigingsacteur die samenwerkt met verschillende ransomwaregroepen en partners van ransomwareprogramma's, zoals beschreven in een gezamenlijk technisch rapport van Group-IB en Bridewell.
De groep is actief sinds 16 juli 2022 en wordt in verband gebracht met ransomware-activiteiten gerelateerd aan de soorten Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus en Play. Bovendien hebben ze direct verkrijgbare post-exploitatietools ingezet, zoals Cobalt Strike en Sliver, evenals laders zoals IcedID en Matanbuchus.
Deze bevindingen zijn gebaseerd op de identificatie van een afzonderlijke SSH-vingerafdruk (1ca4cbac895fc3bd12417b77fc6ed31d) op 85 servers, waarvan er 52 dienen als command-and-control (C2) voor Cobalt Strike. Onder deze servers zijn acht verschillende Cobalt Strike-licentiesleutels (of watermerken) gedetecteerd.
Het merendeel van deze servers (23) bevindt zich in Panama, gevolgd door Cyprus (11), Rusland (9), Seychellen (8), Costa Rica (7), Tsjechië (7), Belize (6), Bulgarije (3) , Honduras (3) en Nederland (3).
Potentiële banden met andere cybercriminele outfits
Bovendien heeft Group-IB infrastructuuroverlappingen geïdentificeerd die ShadowSyndicate verbinden met TrickBot-, Ryuk/Conti-, FIN7- en TrueBot-malwareoperaties. Opvallend is dat er sinds augustus 2022 gevallen zijn geweest van IP-adressen die zijn gekoppeld aan aan Cl0p-ransomware gelieerde ondernemingen die zijn overgestapt naar het eigendom van ShadowSyndicate, wat erop wijst dat deze groepen mogelijk infrastructuur delen.
Deze onthulling valt samen met de aankondiging van de Duitse wetshandhavingsautoriteiten van een tweede gerichte operatie tegen personen die banden hebben met de DoppelPaymer-ransomwaregroep. Er werden huiszoekingsbevelen uitgevaardigd tegen twee verdachten in Duitsland en Oekraïne, die naar verluidt belangrijke verantwoordelijkheden binnen het netwerk hadden en profiteerden van de opbrengsten van ransomware-aanvallen. Hun identiteit is niet bekendgemaakt.
Bovendien wijst een gezamenlijk advies van het Amerikaanse Federal Bureau of Investigation (FBI) en de Cybersecurity and Infrastructure Security Agency (CISA) op een dubbele afpersingsactor genaamd Snatch (voorheen Team Truniger). Deze dreigingsgroep richt zich sinds medio 2021 op verschillende kritieke infrastructuursectoren en gebruikt meerdere methoden om netwerktoegang te verkrijgen en standvastig te blijven. Deze methoden omvatten het misbruiken van kwetsbaarheden in het Remote Desktop Protocol (RDP), brute forceren, het verkrijgen van gecompromitteerde inloggegevens van criminele forums en het gebruik van tactieken om detectie te omzeilen, zoals het opnieuw opstarten van Windows-systemen in de Veilige modus.