ransomware.jpg

ShadowSyndicate implantou sete famílias diferentes de ransomware

Da Redação
27/09/2023

Pesquisadores de segurança identificaram uma infraestrutura pertencente a um grupo operador de ameaças rastreado como ShadowSyndicate, que provavelmente implantou sete famílias diferentes de ransomware em ataques no ano passado.

Analistas do Group-IB que trabalham em conjunto com a empresa de cibersegurança Bridewell e o pesquisador independente Michael Koczwara atribuem ao ShadowSyndicate o uso do ransomware Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus e Play em várias violações observadas desde julho do ano passado.

Com base em suas descobertas, os pesquisadores acreditam que o grupo pode ser um broker (corretor) de acesso inicial (IAB), embora as evidências sugiram que o ShadowSyndicate é um afiliado a várias operações de ransomware.

Os pesquisadores baseiam suas conclusões em uma impressão digital SSH (Secure Shell) distinta que descobriram em 85 servidores IP, a maioria deles marcada como máquinas de comando e controle (C&C) Cobalt Strike. “Apelidamos o operador de ameaça que usa a impressão digital SSH 1ca4cbac895fc3bd12417b77fc6ed31d de ShadowSyndicate [nome anterior do Infra Storm”, diz o Group-IB.

Os analistas identificaram a impressão digital pela primeira vez em 16 de julho de 2022 e ela ainda estava em uso em agosto passado. A equipe de pesquisadores contou com várias ferramentas para sua investigação, que incluíram mecanismos de buscas como Shodan e Censys, juntamente com várias técnicas OSINT (inteligência de fontes abertas, em tradução livre), utilizadas para pesquisar e analisar informações de fontes públicas. Isso permitiu que eles descobrissem uma extensa área de atividade do ShadowSyndicate.

Analisando os servidores ShadowSyndicate identificados com base na “impressão digital” SSH, os pesquisadores encontraram oito marcas d’água diferentes do Cobalt Strike [chaves de licença]. Os oito servidores do Cobalt Strike se comunicaram com o ransomware Cactus, Royal, Quantum, Nokoyawa, Play, Clop e BlackCat/ALPHV implantados em várias redes de vítimas.

Veja isso
Grupo de ransomware afirma ter roubado 6 mil arquivos da Sony
Descriptografador de ransomware disponível gratuitamente

Os pesquisadores também descobriram configurações do Cobalt Strike implantadas em dois servidores, mas apenas um deles em uma máquina com a impressão digital SSH do ShadowSyndicate. Em alguns ataques, o ShadowSyndicate usou a ferramenta de penetração Sliver que anteriormente era considerada um substituto potencial para o Cobalt Strike. Outras ferramentas vistas em ataques ShadowSyndicate incluem o carregador de malware IcedID, o carregador Matanbuchus MaaS e a carga útil Meterpreter Metasploit.

Os analistas testaram a hipótese de que todos os 85 servidores com a mesma impressão digital de chave SSH vinculada ao ShadowSyndicate estão conectados a um único provedor de hospedagem, mas encontraram 18 proprietários diferentes, 22 nomes de rede distintos e 13 locais diferentes.Os especialistas em inteligência do Group-IB concluem que a ShadowSyndicate é provavelmente um afiliado que trabalha com várias operações de ransomware como serviço (RaaS). No entanto, evidências adicionais são necessárias para apoiar essa teoria.

Compartilhar: