Gli analisti di Group-IB hanno identificato un’infrastruttura appartenente a un attore di minaccia ora tracciato come ShadowSyndicate, che probabilmente ha schierato sette diverse famiglie di ransomware negli attacchi nell’ultimo anno. ShadowSyndicate è sospettato di aver utilizzato i ransomware Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus e Play nelle violazioni da luglio 2022.
Arsenale di ShadowSyndicate
Gli analisti hanno scoperto un’impronta digitale SSH distintiva su 85 server IP, la maggior parte dei quali etichettati come macchine di comando e controllo Cobalt Strike. Hanno scoperto anche otto diverse chiavi di licenza Cobalt Strike e configurazioni Cobalt Strike su due server. ShadowSyndicate ha utilizzato anche lo strumento di penetrazione Sliver, precedentemente considerato un potenziale sostituto per Cobalt Strike, e altri strumenti come IcedID malware loader, Matanbuchus MaaS loader e Meterpreter Metasploit payload.
Analisi dei Server
L’analisi dei server ha rivelato 18 diversi proprietari, 22 nomi di rete distinti e 13 diverse località. Gli analisti hanno collegato i server a un attacco Quantum del settembre 2022, tre attacchi Nokoyawa dal Q4 2022 e aprile 2023, e un attacco ALPHV da febbraio 2023. Altre evidenze collegano ShadowSyndicate, con meno sicurezza, a Ryuk, Conti, Trickbot, Royal, Clop e operazioni di malware Play.
Nonostante molte scoperte suggeriscano un potenziale collegamento, un legame diretto ad alta confidenza tra ShadowSyndicate e Clop rimane elusivo. Group-IB conclude che ShadowSyndicate è probabilmente un affiliato che lavora con varie operazioni di ransomware-as-a-service (RaaS). Tuttavia, sono necessarie ulteriori prove per supportare questa teoria.