Експерти по киберсигурност разкриха нова група за киберпрестъпления, известна като ShadowSyndicate (преди това Infra Storm), която през изминалата година може да е използвала седем различни семейства рансъмуер.

„ShadowSyndicate е участник в заплахи, който работи с различни групи ransomware и филиали на ransomware програми“, казват Group-IB и Bridewell в нов съвместен доклад.

Извършителят, който е активен от 16 юли 2022 г., е свързан с дейности по издаване на откупи, свързани с щамовете Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus и Play, като същевременно разгръща готови инструменти за постексплоатация като Cobalt Strike и Sliver, както и зареждащи програми като IcedID и Matanbuchus.

Констатациите се основават на отделен SSH пръстов отпечатък (1ca4cbac895fc3bd12417b77fc6ed31d), открит на 85 сървъра, 52 от които са били използвани като командно-административни (C2) за Cobalt Strike. Сред тези сървъри има осем различни лицензионни ключа (или водни знаци) на Cobalt Strike.

По-голямата част от сървърите (23) се намират в Панама, следвани от Кипър (11), Русия (9), Сейшелските острови (8), Коста Рика (7), Чехия (7), Белиз (6), България (3), Хондурас (3) и Нидерландия (3).

Group-IB съобщи, че е открила и допълнителни инфраструктурни припокривания, които свързват ShadowSyndicate с операциите на зловредния софтуер TrickBot, Ryuk/Conti, FIN7 и TrueBot.

„От 149-те IP адреса, които свързахме с филиали на ransomware Cl0p, от август 2022 г. насам 12 IP адреса от 4 различни клъстера са сменили собствеността си с ShadowSyndicate, което предполага, че има някакво потенциално споделяне на инфраструктура между тези групи“, казват компаниите.

Разкритието идва в момент, в който германските правоприлагащи органи обявиха втори целенасочен удар срещу хакери, свързани с групата за откуп DoppelPaymer, някои от които бяха насочени по-рано през март тази година, като изпълниха заповеди за претърсване срещу двама заподозрени в Германия и Украйна.

Предполага се, че лицата – 44-годишен украинец и 45-годишен германец – са имали ключови функции в мрежата и са получавали незаконни приходи от атаките с откуп. Имената им не се съобщават.

Развитието на ситуацията следва и съвместния съвет, издаден от Федералното бюро за разследване на САЩ (ФБР) и Агенцията за киберсигурност и инфраструктурна сигурност (CISA), относно двойния изнудвач, наречен Snatch (преди Team Truniger), който от средата на 2021 г. е бил насочен към широк кръг сектори на критичната инфраструктура.

„Участниците в заплахата Snatch използват няколко различни метода, за да получат достъп до мрежата на жертвата и да се задържат в нея“, казват агенциите, като посочват последователното развитие на тактиките им и способността на зловредния софтуер да избягва откриване чрез рестартиране на системите Windows в Safe Mode.

„Филиалите на Snatch разчитат предимно на използването на слабости в протокола за отдалечен работен плот (RDP) за грубо насилване и получаване на администраторски пълномощия в мрежите на жертвите. В някои случаи филиалите на Snatch са търсили компрометирани пълномощия от криминални форуми/пазари.“

В последния си доклад за оценка на заплахите в страната Министерството на вътрешната сигурност на САЩ (DHS) отбеляза, че групите, занимаващи се с рансъмуер, непрекъснато разработват нови методи, за да подобрят възможностите си за финансово изнудване на жертвите, което превръща 2023 г. във втората най-печеливша година след 2021 г.

„Тези групи са увеличили използването на многостепенно изнудване, при което криптират и ексфилтрират данните на своите цели и обикновено заплашват да публикуват публично откраднатите данни, да използват DDoS атаки или да тормозят клиентите на жертвата, за да я принудят да плати“, се казва в доклада на DHS.

Akira е пример за това. Откакто се появи като заплаха, базирана на Windows, през март 2023 г., рансъмуерът разшири обхвата си, за да включи Linux сървъри и виртуални машини VMWare ESXi, което подчертава способността му бързо да се адаптира към тенденциите. Към средата на септември групата успешно е поразила 110 жертви в САЩ и Великобритания.

Възраждането на атаките с рансъмуер е съпроводено и с рязък скок на исковете за киберзастраховане, като общата честота на исковете се е увеличила с 12% през първата половина на годината в САЩ, а жертвите съобщават за средна сума на загубите от над 365 000 долара, което е 61% скок спрямо втората половина на 2022 г.

„Предприятията с приходи над 100 млн. долара отбелязаха най-голямо увеличение на честотата и докато другите групи приходи бяха по-стабилни, те също се сблъскаха с рязко увеличение на исковете“, заявиха от компанията за киберзастраховане Coalition.

Непрекъснатите промени в пейзажа на заплахите се илюстрират най-добре от BlackCat, Cl0p и LockBit, които през последните месеци останаха едни от най-плодовитите и еволюирали семейства на рансъмуер, насочени предимно към малки и големи предприятия от банковия, търговския и транспортния сектор. През 2023 г. броят на активните RaaS и свързаните с RaaS групи е нараснал с 11,3%, като се е увеличил от 39 на 45.

Миналата седмица в доклад на eSentire бяха описани две атаки на LockBit, при които е наблюдавано, че групата за електронни престъпления използва инструментите за отдалечено наблюдение и управление (RMM) на компаниите жертви (или свои собствени), за да разпространи рансъмуера в ИТ средата или да го изпрати на клиентите надолу по веригата.

Разчитането на такива техники за „живеене на земята“ (LotL) е опит да се избегне откриването и да се объркат усилията за приписване, като се смесва злонамереното и законното използване на инструменти за управление на ИТ, заяви канадската компания.

В друг случай на атака BlackCat, изтъкнат от Sophos този месец, нападателите са били забелязани да криптират акаунти в Microsoft Azure Storage, след като са получили достъп до портала Azure на неназован клиент.

„По време на проникването е наблюдавано, че престъпниците използват различни инструменти за RMM (AnyDesk, Splashtop и Atera) и използват Chrome за достъп до инсталираното от целта хранилище LastPass чрез разширение на браузъра, където получават OTP за достъп до акаунта Sophos Central на целта, който се използва от клиентите за управление на техните продукти Sophos“, заявиха от компанията.

„След това противникът модифицира политиките за сигурност и деактивира Tamper Protection в рамките на Central, преди да криптира системите на клиента и отдалечените акаунти в Azure Storage чрез изпълним ransomware с разширение .zk09cvt.“