Pesquisadores de segurança identificaram a infraestrutura pertencente a um ator de ameaça agora rastreado como ShadowSyndicate, que provavelmente implantou sete famílias diferentes de ransomware em ataques durante o ano passado.
Os analistas do Group-IB, trabalhando em conjunto com a Bridewell e o pesquisador independente Michael Koczwara, atribuem com vários graus de confiança o uso do Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus e o ransomware Play pelo ShadowSyndicate em várias violações observadas desde julho de 2022.
Com base em suas descobertas, os pesquisadores acreditam que o ator de ameaça pode ser um corretor de acesso inicial (IAB), embora as evidências sugiram que o ShadowSyndicate é um afiliado de várias operações de ransomware.
Os pesquisadores baseiam suas conclusões em uma impressão digital SSH distinta que descobriram em 85 servidores IP, a maioria deles marcados como máquinas de comando e controle Cobalt Strike.
Os analistas viram a impressão digital pela primeira vez em 16 de julho de 2022, e ela ainda estava em uso em agosto de 2023.
A equipe de pesquisadores utilizou várias ferramentas para suas investigações, que incluíram mecanismos de descoberta como Shodan e Censys, juntamente com várias técnicas OSINT. Isso permitiu que eles descobrissem uma extensa pegada de atividade do ShadowSyndicate.
Ao examinar os servidores do ShadowSyndicate identificados com base na impressão digital SSH, os pesquisadores "encontraram oito diferentes marcas d'água Cobalt Strike [chaves de licença]".
Os oito servidores Cobalt Strike se comunicaram com o ransomware Cactus, Royal, Quantum, Nokoyawa, Play, Clop e BlackCat/ALPHV implantado em várias redes de vítimas.
Os pesquisadores também descobriram configurações Cobalt Strike implantadas em dois servidores, mas apenas uma delas em uma máquina com a impressão digital SSH ShadowSyndicate.
Em alguns ataques, o ShadowSyndicate usou a ferramenta de penetração Sliver, que foi anteriormente vista como uma substituição potencial para o Cobalt Strike.
Outras ferramentas vistas nos ataques do ShadowSyndicate incluem o carregador de malware IcedID, o carregador Matanbuchus MaaS e o payload Metasploit Meterpreter.
Os analistas testaram a hipótese de que todos os 85 servidores com a mesma impressão digital da chave SSH vinculada ao ShadowSyndicate estão conectados a um único provedor de hospedagem, mas encontraram 18 proprietários diferentes, 22 nomes distintos de redes e 13 localizações diferentes.
A análise dos parâmetros C2 do Cobalt Strike, como data de detecção, marcas d'água ou configurações de tempo de espera, ajudou a produzir evidências de alta confiança que ligam o ShadowSyndicate ao Quantum, Nokoyawa e ao ransomware ALPHV/BlackCat.
Especificamente, os analistas ligaram os servidores a um ataque Quantum de setembro de 2022, três ataques Nokoyawa do 4º trimestre de 2022 e abril de 2023, e um ataque ALPHV de fevereiro de 2023.
A Group-IB e as partes colaboradoras mencionadas encontraram evidências adicionais que conectam o ShadowSyndicate, com menos confiança, às operações de malware Ryuk, Conti, Trickbot, Royal, Clop e Play.
Para o Clop em particular, o relatório da Group-IB menciona que pelo menos 12 endereços IP anteriormente vinculados aos notórios operadores de ransomware foram transferidos para o ShadowSyndicate desde agosto de 2022 e agora são utilizados para o Cobalt Strike.
Apesar das muitas descobertas que sugerem uma possível conexão, uma ligação direta de alta confiança entre o ShadowSyndicate e o Clop continua difícil de ser encontrada.
Os especialistas em inteligência do Group-IB concluem que o ShadowSyndicate provavelmente é um afiliado que trabalha com várias operações de ransomware como serviço (RaaS). No entanto, são necessárias provas adicionais para apoiar essa teoria.
No entanto, este trabalho é crucial para identificar e combater o cibercrime, e neste espírito, a empresa de ciberinteligência convida pesquisadores externos a colaborar abertamente com eles e ajudar a descobrir as partes restantes obscuras.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...