ShadowSyndicate — nowy APT odpowiedzialny za siedem odmian oprogramowania ransomware

Eksperci ds. cyberbezpieczeństwa ujawnili istnienie nowej grupy cyberprzestępczej znanej jako ShadowSyndicate, wcześniej identyfikowanej jako Infra Storm. Podejrzewa się, że w ciągu ostatniego roku grupa ta wykorzystała nawet siedem różnych rodzin oprogramowania ransomware.

ShadowSyndicate charakteryzuje się jako ugrupowanie zagrażające współpracujące z różnymi grupami zajmującymi się oprogramowaniem ransomware i podmiotami stowarzyszonymi z programami ransomware, jak szczegółowo opisano we wspólnym raporcie technicznym Group-IB i Bridewell.

Działająca od 16 lipca 2022 r. grupa była powiązana z działaniami związanymi z oprogramowaniem ransomware związanym ze odmianami Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus i Play. Dodatkowo wdrożyli łatwo dostępne narzędzia poeksploatacyjne, takie jak Cobalt Strike i Sliver, a także moduły ładujące, takie jak IcedID i Matanbuchus.

Ustalenia te opierają się na identyfikacji odrębnego odcisku palca SSH (1ca4cbac895fc3bd12417b77fc6ed31d) na 85 serwerach, z których 52 pełni funkcję dowodzenia i kontroli (C2) dla Cobalt Strike. Wśród tych serwerów wykryto osiem różnych kluczy licencyjnych (lub znaków wodnych) Cobalt Strike.

Większość tych serwerów (23) znajduje się w Panamie, następnie na Cyprze (11), w Rosji (9), Seszelach (8), Kostaryce (7), Czechach (7), Belize (6), Bułgarii (3) , Honduras (3) i Holandia (3).

Potencjalne powiązania z innymi strojami cyberprzestępczymi

Co więcej, grupa IB zidentyfikowała pokrywanie się infrastruktury łączącej ShadowSyndicate z operacjami złośliwego oprogramowania TrickBot, Ryuk/Conti, FIN7 i TrueBot. Warto zauważyć, że zdarzały się przypadki, gdy adresy IP powiązane z podmiotami stowarzyszonymi z oprogramowaniem ransomware Cl0p przeszły na własność ShadowSyndicate od sierpnia 2022 r., co sugeruje potencjalne współdzielenie infrastruktury między tymi grupami.

Odkrycie to zbiega się z ogłoszeniem przez niemieckie organy ścigania drugiej operacji ukierunkowanej przeciwko osobom powiązanym z grupą ransomware DoppelPaymer. Nakazy przeszukania wykonano wobec dwóch podejrzanych w Niemczech i na Ukrainie, którzy rzekomo pełnili kluczowe obowiązki w sieci i czerpili zyski z ataków typu ransomware. Ich tożsamość nie została ujawniona.

Ponadto we wspólnym raporcie amerykańskiego Federalnego Biura Śledczego (FBI) i Agencji ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) zwrócono uwagę na osobę zajmującą się podwójnymi wymuszeniami, znaną jako Snatch (dawniej Team Truniger). Od połowy 2021 r. ta grupa zagrożeń atakuje różne sektory infrastruktury krytycznej, korzystając z wielu metod uzyskiwania dostępu do sieci i utrzymywania trwałości. Metody te obejmują wykorzystywanie luk w zabezpieczeniach protokołu Remote Desktop Protocol (RDP), brutalne wymuszanie, pozyskiwanie naruszonych danych uwierzytelniających z forów przestępczych oraz stosowanie taktyk pozwalających uniknąć wykrycia, takich jak ponowne uruchamianie systemów Windows w trybie awaryjnym.