Нова киберпрестъпна група е свързана със 7 фамилии рансъмуер

Picture of e-security.bg
e-security.bg
Aрхив | Факти и данни

Експерти по киберсигурност разкриха нова група за киберпрестъпления, известна като ShadowSyndicate (преди това Infra Storm), която през изминалата година може да е използвала седем различни семейства рансъмуер.

„ShadowSyndicate е участник в заплахи, който работи с различни групи ransomware и филиали на ransomware програми“, казват Group-IB и Bridewell в нов съвместен доклад.

Извършителят, който е активен от 16 юли 2022 г., е свързан с дейности по издаване на откупи, свързани с щамовете Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus и Play, като същевременно разгръща готови инструменти за постексплоатация като Cobalt Strike и Sliver, както и зареждащи програми като IcedID и Matanbuchus.

Констатациите се основават на отделен SSH пръстов отпечатък (1ca4cbac895fc3bd12417b77fc6ed31d), открит на 85 сървъра, 52 от които са били използвани като командно-административни (C2) за Cobalt Strike. Сред тези сървъри има осем различни лицензионни ключа (или водни знаци) на Cobalt Strike.

По-голямата част от сървърите (23) се намират в Панама, следвани от Кипър (11), Русия (9), Сейшелските острови (8), Коста Рика (7), Чехия (7), Белиз (6), България (3), Хондурас (3) и Нидерландия (3).

Group-IB съобщи, че е открила и допълнителни инфраструктурни припокривания, които свързват ShadowSyndicate с операциите на зловредния софтуер TrickBot, Ryuk/Conti, FIN7 и TrueBot.

„От 149-те IP адреса, които свързахме с филиали на ransomware Cl0p, от август 2022 г. насам 12 IP адреса от 4 различни клъстера са сменили собствеността си с ShadowSyndicate, което предполага, че има някакво потенциално споделяне на инфраструктура между тези групи“, казват компаниите.

Разкритието идва в момент, в който германските правоприлагащи органи обявиха втори целенасочен удар срещу хакери, свързани с групата за откуп DoppelPaymer, някои от които бяха насочени по-рано през март тази година, като изпълниха заповеди за претърсване срещу двама заподозрени в Германия и Украйна.

Предполага се, че лицата – 44-годишен украинец и 45-годишен германец – са имали ключови функции в мрежата и са получавали незаконни приходи от атаките с откуп. Имената им не се съобщават.

Развитието на ситуацията следва и съвместния съвет, издаден от Федералното бюро за разследване на САЩ (ФБР) и Агенцията за киберсигурност и инфраструктурна сигурност (CISA), относно двойния изнудвач, наречен Snatch (преди Team Truniger), който от средата на 2021 г. е бил насочен към широк кръг сектори на критичната инфраструктура.

 

„Участниците в заплахата Snatch използват няколко различни метода, за да получат достъп до мрежата на жертвата и да се задържат в нея“, казват агенциите, като посочват последователното развитие на тактиките им и способността на зловредния софтуер да избягва откриване чрез рестартиране на системите Windows в Safe Mode.

„Филиалите на Snatch разчитат предимно на използването на слабости в протокола за отдалечен работен плот (RDP) за грубо насилване и получаване на администраторски пълномощия в мрежите на жертвите. В някои случаи филиалите на Snatch са търсили компрометирани пълномощия от криминални форуми/пазари.“

В последния си доклад за оценка на заплахите в страната Министерството на вътрешната сигурност на САЩ (DHS) отбеляза, че групите, занимаващи се с рансъмуер, непрекъснато разработват нови методи, за да подобрят възможностите си за финансово изнудване на жертвите, което превръща 2023 г. във втората най-печеливша година след 2021 г.

„Тези групи са увеличили използването на многостепенно изнудване, при което криптират и ексфилтрират данните на своите цели и обикновено заплашват да публикуват публично откраднатите данни, да използват DDoS атаки или да тормозят клиентите на жертвата, за да я принудят да плати“, се казва в доклада на DHS.

Akira е пример за това. Откакто се появи като заплаха, базирана на Windows, през март 2023 г., рансъмуерът разшири обхвата си, за да включи Linux сървъри и виртуални машини VMWare ESXi, което подчертава способността му бързо да се адаптира към тенденциите. Към средата на септември групата успешно е поразила 110 жертви в САЩ и Великобритания.

Възраждането на атаките с рансъмуер е съпроводено и с рязък скок на исковете за киберзастраховане, като общата честота на исковете се е увеличила с 12% през първата половина на годината в САЩ, а жертвите съобщават за средна сума на загубите от над 365 000 долара, което е 61% скок спрямо втората половина на 2022 г.

„Предприятията с приходи над 100 млн. долара отбелязаха най-голямо увеличение на честотата и докато другите групи приходи бяха по-стабилни, те също се сблъскаха с рязко увеличение на исковете“, заявиха от компанията за киберзастраховане Coalition.

 

Непрекъснатите промени в пейзажа на заплахите се илюстрират най-добре от BlackCat, Cl0p и LockBit, които през последните месеци останаха едни от най-плодовитите и еволюирали семейства на рансъмуер, насочени предимно към малки и големи предприятия от банковия, търговския и транспортния сектор. През 2023 г. броят на активните RaaS и свързаните с RaaS групи е нараснал с 11,3%, като се е увеличил от 39 на 45.

 

Миналата седмица в доклад на eSentire бяха описани две атаки на LockBit, при които е наблюдавано, че групата за електронни престъпления използва инструментите за отдалечено наблюдение и управление (RMM) на компаниите жертви (или свои собствени), за да разпространи рансъмуера в ИТ средата или да го изпрати на клиентите надолу по веригата.

Разчитането на такива техники за „живеене на земята“ (LotL) е опит да се избегне откриването и да се объркат усилията за приписване, като се смесва злонамереното и законното използване на инструменти за управление на ИТ, заяви канадската компания.

В друг случай на атака BlackCat, изтъкнат от Sophos този месец, нападателите са били забелязани да криптират акаунти в Microsoft Azure Storage, след като са получили достъп до портала Azure на неназован клиент.

„По време на проникването е наблюдавано, че престъпниците използват различни инструменти за RMM (AnyDesk, Splashtop и Atera) и използват Chrome за достъп до инсталираното от целта хранилище LastPass чрез разширение на браузъра, където получават OTP за достъп до акаунта Sophos Central на целта, който се използва от клиентите за управление на техните продукти Sophos“, заявиха от компанията.

„След това противникът модифицира политиките за сигурност и деактивира Tamper Protection в рамките на Central, преди да криптира системите на клиента и отдалечените акаунти в Azure Storage чрез изпълним ransomware с разширение .zk09cvt.“

 

#рансъмуер
The Hacker News

Подобни

Данни на клиенти на Eurail B.V. се продават в дарк уеб
17.02.2026
futuremoon-railway-7508384_640
Глобален срив на X
17.02.2026
ai-generated-8223753_640
NASA тества ИИ за автономна навигация на Марс
17.02.2026
wikiimages-mars-67522_640
Claude на Anthropic и военните операции на САЩ
17.02.2026
pentagon-US-defense
ЕК одобри придобиването на Wiz от Google
16.02.2026
Wiz-Google
Кибератаките – водещият риск за Г-7
16.02.2026
webinar_AI_in_Cybersecurity_Q1_BLOG_735x416_px

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.