ShadowSyndicate – o novo APT que está por trás de sete cepas de ransomware

Especialistas em segurança cibernética revelaram a existência de um novo grupo cibercriminoso conhecido como ShadowSyndicate, anteriormente identificado como Infra Storm. Este grupo é suspeito de ter utilizado até sete famílias diferentes de ransomware no ano passado.

ShadowSyndicate é caracterizado como um ator de ameaça que colabora com vários grupos de ransomware e afiliados de programas de ransomware, conforme detalhado em um relatório técnico conjunto do Group-IB e Bridewell.

Em operação desde 16 de julho de 2022, o grupo está associado a atividades de ransomware relacionadas às cepas Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus e Play. Além disso, eles implantaram ferramentas pós-exploração prontamente disponíveis, como Cobalt Strike e Sliver, bem como carregadores como IcedID e Matanbuchus.

Essas descobertas são baseadas na identificação de uma impressão digital SSH distinta (1ca4cbac895fc3bd12417b77fc6ed31d) em 85 servidores, com 52 servindo como comando e controle (C2) para Cobalt Strike. Entre esses servidores, oito chaves de licença (ou marcas d'água) diferentes do Cobalt Strike foram detectadas.

A maioria destes servidores (23) está situada no Panamá, seguido por Chipre (11), Rússia (9), Seicheles (8), Costa Rica (7), Chéquia (7), Belize (6), Bulgária (3) , Honduras (3) e Holanda (3).

Laços potenciais com outras organizações cibercriminosas

Além disso, a infraestrutura identificada pelo Grupo-IB se sobrepõe conectando o ShadowSyndicate às operações de malware TrickBot, Ryuk/Conti, FIN7 e TrueBot. Notavelmente, houve casos de endereços IP vinculados a afiliados do ransomware Cl0p em transição para propriedade do ShadowSyndicate desde agosto de 2022, sugerindo potencial compartilhamento de infraestrutura entre esses grupos.

Esta revelação coincide com o anúncio das autoridades alemãs de aplicação da lei de uma segunda operação direcionada contra indivíduos associados ao grupo de ransomware DoppelPaymer. Foram executados mandados de busca e apreensão contra dois suspeitos na Alemanha e na Ucrânia, ambos alegadamente detendo responsabilidades importantes dentro da rede e beneficiando dos lucros do ataque de ransomware. Suas identidades não foram divulgadas.

Além disso, um comunicado conjunto do Federal Bureau of Investigation (FBI) dos EUA e da Agência de Segurança Cibernética e de Infraestrutura (CISA) destaca um ator de dupla extorsão chamado Snatch (anteriormente Team Truniger). Este grupo de ameaças tem como alvo vários setores de infraestruturas críticas desde meados de 2021, utilizando vários métodos para obter acesso à rede e manter a persistência. Esses métodos incluem a exploração de vulnerabilidades do Remote Desktop Protocol (RDP), força bruta, aquisição de credenciais comprometidas de fóruns criminosos e emprego de táticas para evitar a detecção, como reinicializar sistemas Windows no modo de segurança.