Los expertos en ciberseguridad han arrojado luz sobre un nuevo grupo de ciberdelincuencia conocido como ShadowSyndicate (anteriormente Infra Storm) que puede haber aprovechado hasta siete familias diferentes de ransomware durante el año pasado.
«ShadowSyndicate es un actor de amenazas que trabaja con varios grupos de ransomware y afiliados de programas de ransomware», dijeron Group-IB y Bridewell en un nuevo informe conjunto.
El actor, activo desde el 16 de julio de 2022, se ha vinculado a la actividad de ransomware relacionada con las cepas Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus y Play, al tiempo que implementa herramientas post-explotación disponibles en el mercado como Cobalt Strike y Sliver . así como cargadores como IcedID y Matanbuchus .
Los hallazgos se basan en una huella digital SSH distinta (1ca4cbac895fc3bd12417b77fc6ed31d) descubierta en 85 servidores, 52 de los cuales se han utilizado como comando y control (C2) para Cobalt Strike. Entre esos servidores hay ocho claves de licencia (o marcas de agua) de Cobalt Strike diferentes.
La mayoría de los servidores (23) están ubicados en Panamá, seguido de Chipre (11), Rusia (9), Seychelles (8), Costa Rica (7), Chequia (7), Belice (6), Bulgaria (3). , Honduras (3) y Países Bajos (3).
Group-IB dijo que también encontró superposiciones de infraestructura adicionales que conectan ShadowSyndicate con las operaciones de malware TrickBot, Ryuk/Conti, FIN7 y TrueBot.
«De las 149 direcciones IP que vinculamos a afiliados de ransomware Cl0p, hemos visto, desde agosto de 2022, 12 direcciones IP de 4 clústeres diferentes cambiaron de propiedad a ShadowSyndicate, lo que sugiere que existe cierto potencial para compartir infraestructura entre estos grupos». dijeron las empresas.
La divulgación se produce cuando las autoridades policiales alemanas anunciaron un segundo ataque dirigido contra actores asociados con el grupo de ransomware DoppelPaymer, algunos de los cuales fueron atacados a principios de marzo , ejecutando órdenes de registro contra dos sospechosos en Alemania y Ucrania.
Se alega que los individuos, un ucraniano de 44 años y un ciudadano alemán de 45, tuvieron responsabilidades clave dentro de la red y recibieron ganancias ilícitas de los ataques de ransomware. Sus nombres no fueron revelados.
El desarrollo también sigue a un aviso conjunto emitido por la Oficina Federal de Investigaciones (FBI) de EE. UU. y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) sobre un actor de doble extorsión llamado Snatch (anteriormente Team Truniger) que se ha dirigido a una amplia gama de sectores de infraestructura críticos . desde mediados de 2021.
«Los actores de amenazas Snatch emplean varios métodos diferentes para obtener acceso y mantener la persistencia en la red de una víctima», dijeron las agencias , destacando su constante evolución de tácticas y la capacidad del malware para evadir la detección reiniciando los sistemas Windows en modo seguro .
«Los afiliados de Snatch dependen principalmente de explotar las debilidades del Protocolo de escritorio remoto (RDP) para forzar la fuerza bruta y obtener credenciales de administrador para las redes de las víctimas. En algunos casos, los afiliados de Snatch han buscado credenciales comprometidas en foros/mercados criminales».
El Departamento de Seguridad Nacional de EE. UU. (DHS), en su último informe de Evaluación de Amenazas Nacionales, señaló que los grupos de ransomware están desarrollando continuamente nuevos métodos para mejorar su capacidad de extorsionar financieramente a las víctimas, lo que convierte a 2023 en el segundo año más rentable después de 2021.
«Estos grupos han aumentado el uso de la extorsión multinivel, en la que cifran y extraen los datos de sus objetivos y, por lo general, amenazan con divulgar públicamente los datos robados, utilizan ataques DDoS o acosan a los clientes de la víctima para obligarla a pagar», informa el DHS. dijo.
Akira es un buen ejemplo. El ransomware ha ampliado su alcance desde que surgió como una amenaza basada en Windows en marzo de 2023 para incluir servidores Linux y máquinas virtuales VMWare ESXi, lo que subraya su capacidad para adaptarse rápidamente a las tendencias. A mediados de septiembre, el grupo había alcanzado con éxito a 110 víctimas en Estados Unidos y el Reino Unido.
El resurgimiento de los ataques de ransomware también ha ido acompañado de un aumento en las reclamaciones de seguros cibernéticos: la frecuencia general de las reclamaciones aumentó un 12 % en la primera mitad del año en los EE. UU. y las víctimas informaron una pérdida promedio de más de $ 365 000, un aumento del 61 %. a partir del segundo semestre de 2022.
«Las empresas con más de 100 millones de dólares en ingresos experimentaron el mayor aumento en la frecuencia, y aunque otras bandas de ingresos fueron más estables, también enfrentaron aumentos en las reclamaciones», dijo la firma de seguros cibernéticos Coalition.
El flujo constante en el panorama de amenazas se ejemplifica mejor con BlackCat, Cl0p y LockBit, que siguen siendo algunas de las familias de ransomware más prolíficas y evolutivas en los últimos meses, apuntando principalmente a pequeñas y grandes empresas que abarcan los sectores bancario, minorista y de transporte. El número de grupos activos de RaaS y relacionados con RaaS creció en 2023 un 11,3%, pasando de 39 a 45.
Un informe de eSentire la semana pasada detalló dos ataques LockBit en los que se observó que el grupo de delitos electrónicos aprovechaba las herramientas de administración y monitoreo remoto (RMM) expuestas a Internet de las empresas víctimas (o las suyas propias) para difundir el ransomware en el entorno de TI o empujar a sus clientes intermedios.
La dependencia de tales técnicas de vida de la tierra (LotL) es un intento de evitar la detección y confundir los esfuerzos de atribución al combinar el uso malicioso y legítimo de herramientas de gestión de TI, dijo la compañía canadiense .
En otro caso de un ataque BlackCat destacado por Sophos este mes, se vio a los atacantes cifrando cuentas de Microsoft Azure Storage después de obtener acceso al portal Azure de un cliente anónimo.
«Durante la intrusión, se observó que los actores de amenazas aprovechaban varias herramientas RMM (AnyDesk, Splashtop y Atera) y usaban Chrome para acceder a la bóveda LastPass instalada en el objetivo a través de la extensión del navegador, donde obtuvieron la OTP para acceder a la cuenta de Sophos Central del objetivo. , que es utilizado por los clientes para gestionar sus productos Sophos», dijo la compañía .
«Luego, el adversario modificó las políticas de seguridad y deshabilitó la protección contra manipulaciones dentro de Central antes de cifrar los sistemas del cliente y las cuentas remotas de Azure Storage mediante un ejecutable de ransomware con la extensión .zk09cvt».
Fuente y redacción: thehackernews.com
