ShadowSyndicate : un nouveau groupe de cybercriminels ?
- par Kenan
- , le 26 septembre 2023
- 22 h 36 min
Le groupe a compromis et crypté plus de 1 000 serveurs.
La société de gestion de l’information de l’Union européenne (UE)
Des experts en cybersécurité ont fait la lumière sur un nouveau groupe de cybercriminels connu sous le nom de ShadowSyndicate (anciennement Infra Storm) qui pourrait avoir utilisé pas moins de sept familles de ransomware différentes au cours de l’année écoulée.
« ShadowSyndicate est un acteur de la menace qui travaille avec divers groupes de ransomwares et affiliés à des programmes de ransomwares », indiquent Group-IB et Bridewell dans un nouveau rapport conjoint.
L’acteur, actif depuis le 16 juillet 2022, est lié à des activités de ransomware liées aux souches Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus et Play, tout en déployant des outils de post-exploitation prêts à l’emploi tels que Cobalt Strike et Sliver, ainsi que des chargeurs tels que IcedID et Matanbuchus.
Les conclusions sont basées sur une empreinte SSH distincte (1ca4cbac895fc3bd12417b77fc6ed31d) découverte sur 85 serveurs, dont 52 ont été utilisés comme commande et contrôle (C2) pour Cobalt Strike. Parmi ces serveurs se trouvent huit clés de licence Cobalt Strike différentes (ou filigranes).
La majorité des serveurs (23) sont situés au Panama, suivi de Chypre (11), de la Russie (9), des Seychelles (8), du Costa Rica (7), de la Tchéquie (7), du Belize (6), de la Bulgarie (3), du Honduras (3) et des Pays-Bas (3).
Le Group-IB a également découvert d’autres chevauchements d’infrastructure qui relient ShadowSyndicate aux opérations de malveillance TrickBot, Ryuk/Conti, FIN7 et TrueBot.
« Sur les 149 adresses IP que nous avons reliées aux filiales du ransomware Cl0p, nous avons constaté, depuis août 2022, que 12 adresses IP de 4 groupes différents ont changé de propriétaire au profit de ShadowSyndicate, ce qui suggère qu’il existe un partage potentiel d’infrastructure entre ces groupes », ont déclaré les entreprises.Attaques par ransomware en hausse
La résurgence des attaques par ransomware s’est également accompagnée d’un pic des demandes d’indemnisation au titre de la cyberassurance, la fréquence globale des demandes ayant augmenté de 12 % au cours du premier semestre de l’année aux États-Unis et les victimes ayant déclaré un montant moyen de pertes de plus de 365 000 dollars, soit un bond de 61 % par rapport au second semestre 2022.
« Les entreprises dont le chiffre d’affaires est supérieur à 100 millions de dollars ont connu la plus forte augmentation de fréquence, et si les autres tranches de revenus ont été plus stables, elles ont également été confrontées à des hausses de demandes d’indemnisation », a déclaré la société de cyberassurance Coalition. L’évolution constante du paysage des menaces est illustrée par BlackCat, Cl0p et LockBit, qui sont restés parmi les familles de ransomwares les plus prolifiques et les plus évolutives ces derniers mois, ciblant principalement les petites et grandes entreprises des secteurs de la banque, de la vente au détail et des transports. Le nombre de groupes RaaS et apparentés actifs a augmenté de 11,3 % en 2023, passant de 39 à 45.
La semaine dernière, un rapport d’eSentire a décrit en détail deux attaques LockBit dans lesquelles le groupe de cybercriminels a été observé en train d’exploiter les outils de surveillance et de gestion à distance (RMM) des entreprises victimes, exposés à Internet (ou les leurs), pour diffuser le ransomware dans l’environnement informatique ou le pousser vers leurs clients en aval. Le recours à ces techniques de « living-off-the-land » (LotL) est une tentative d’éviter la détection et de brouiller les efforts d’attribution en mélangeant l’utilisation malveillante et légitime des outils de gestion informatique, a déclaré l’entreprise canadienne.
Dans un autre cas d’attaque BlackCat mis en évidence par Sophos ce mois-ci, les attaquants ont été vus en train de chiffrer des comptes Microsoft Azure Storage après avoir accédé au portail Azure d’un client anonyme. « Au cours de l’intrusion, les acteurs de la menace ont été observés en train de tirer parti de divers outils RMM (AnyDesk, Splashtop et Atera), et d’utiliser Chrome pour accéder au coffre-fort LastPass installé sur la cible via l’extension du navigateur, où ils ont obtenu l’OTP pour accéder au compte Sophos Central », a déclaré Sophos. »L’adversaire a ensuite modifié les politiques de sécurité et désactivé la protection contre les manipulations dans Central avant de chiffrer les systèmes du client et les comptes Azure Storage distants via un ransomware exécutable avec l’extension .zk09cvt. »