ShadowSyndicate - den nya APT som ligger bakom sju Ransomware-stammar
Cybersäkerhetsexperter har avslöjat att det finns en ny cyberkriminell grupp känd som ShadowSyndicate, tidigare identifierad som Infra Storm. Denna grupp misstänks ha använt upp till sju olika ransomware-familjer under det senaste året.
ShadowSyndicate karakteriseras som en hotaktör som samarbetar med olika ransomware-grupper och affiliates av ransomware-program, vilket beskrivs i en gemensam teknisk rapport av Group-IB och Bridewell.
Gruppen har varit verksam sedan den 16 juli 2022 och har associerats med ransomware-aktiviteter relaterade till stammar Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus och Play. Dessutom har de distribuerat lättillgängliga verktyg efter exploatering som Cobalt Strike och Sliver, samt laddare som IcedID och Matanbuchus.
Dessa fynd är baserade på identifieringen av ett distinkt SSH-fingeravtryck (1ca4cbac895fc3bd12417b77fc6ed31d) på 85 servrar, varav 52 fungerar som kommando-och-kontroll (C2) för Cobalt Strike. Bland dessa servrar har åtta olika Cobalt Strike-licensnycklar (eller vattenstämplar) upptäckts.
Majoriteten av dessa servrar (23) är belägna i Panama, följt av Cypern (11), Ryssland (9), Seychellerna (8), Costa Rica (7), Tjeckien (7), Belize (6), Bulgarien (3) , Honduras (3) och Nederländerna (3).
Potentiella band till andra cyberkriminella kläder
Dessutom identifierade Group-IB infrastrukturöverlappningar som kopplar ShadowSyndicate till TrickBot, Ryuk/Conti, FIN7 och TrueBot skadlig programvara. Noterbart har det förekommit fall av IP-adresser kopplade till Cl0p ransomware affiliates som övergått till ShadowSyndicate-ägande sedan augusti 2022, vilket tyder på potentiell delning av infrastruktur mellan dessa grupper.
Detta avslöjande sammanfaller med tyska brottsbekämpande myndigheters tillkännagivande om en andra riktad operation mot individer som är associerade med DoppelPaymer ransomware-gruppen. Husrannsakningsorder verkställdes mot två misstänkta i Tyskland och Ukraina, som båda påstås ha nyckelansvar inom nätverket och dra nytta av intäkter från ransomware-attacker. Deras identiteter har inte avslöjats.
Dessutom framhäver ett gemensamt råd från den amerikanska federala byrån för utredning (FBI) och Cybersecurity and Infrastructure Security Agency (CISA) en dubbel utpressningsaktör som heter Snatch (tidigare Team Truniger). Denna hotgrupp har riktat in sig på olika kritiska infrastruktursektorer sedan mitten av 2021, med hjälp av flera metoder för att få nätverksåtkomst och upprätthålla uthållighet. Dessa metoder inkluderar att utnyttja Remote Desktop Protocol (RDP) sårbarheter, brute-forcing, skaffa komprometterade referenser från kriminella forum och använda taktik för att undvika upptäckt, som att starta om Windows-system till felsäkert läge.
