Des experts en cybersécurité ont mis en lumière un nouveau groupe de cybercriminalité connu sous le nom de Syndicat de l’Ombre (anciennement Infra Storm) qui aurait pu exploiter jusqu’à sept familles de ransomwares différentes au cours de l’année écoulée.
« ShadowSyndicate est un acteur menaçant qui travaille avec divers groupes de ransomwares et affiliés à des programmes de ransomware », Group-IB et Bridewell dit dans un nouveau rapport conjoint.
L’acteur, actif depuis le 16 juillet 2022, est lié à des activités de ransomware liées aux souches Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus et Play, tout en déployant également des outils de post-exploitation prêts à l’emploi comme Cobalt Strike et Sliver. ainsi que des chargeurs tels que IcedID et Matanbuchus.
Les résultats sont basés sur une empreinte SSH distincte (1ca4cbac895fc3bd12417b77fc6ed31d) découverte sur 85 serveurs, dont 52 ont été utilisés comme commande et contrôle (C2) pour Cobalt Strike. Parmi ces serveurs se trouvent huit clés de licence (ou filigranes) Cobalt Strike différentes.
La majorité des serveurs (23) sont situés au Panama, suivi de Chypre (11), de la Russie (9), des Seychelles (8), du Costa Rica (7), de la Tchéquie (7), du Belize (6), de la Bulgarie (3). , Honduras (3) et Pays-Bas (3).
Group-IB a déclaré avoir également découvert des chevauchements d’infrastructures supplémentaires qui relient ShadowSyndicate aux opérations de logiciels malveillants TrickBot, Ryuk/Conti, FIN7 et TrueBot.
« Sur les 149 adresses IP que nous avons liées aux affiliés du ransomware Cl0p, nous avons vu, depuis août 2022, 12 adresses IP de 4 clusters différents changer de propriétaire en ShadowSyndicate, ce qui suggère qu’il existe un certain partage potentiel d’infrastructure entre ces groupes. » » ont déclaré les entreprises.
La divulgation intervient alors que les autorités chargées de l’application des lois allemandes annoncé une deuxième frappe ciblée contre des acteurs associés au groupe de ransomware DoppelPaymer, dont certains ont été ciblés plus tôt en marsexécutant des mandats de perquisition contre deux suspects en Allemagne et en Ukraine.
Les individus, un Ukrainien de 44 ans et un Allemand de 45 ans, auraient occupé des responsabilités clés au sein du réseau et auraient reçu des produits illicites des attaques de ransomware. Leurs noms n’ont pas été divulgués.
Cette évolution fait également suite à un avis conjoint émis par le Federal Bureau of Investigation (FBI) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) concernant un double acteur d’extorsion appelé Arracher (anciennement Team Truniger) qui a ciblé un large éventail de secteurs d’infrastructures critiques depuis mi-2021.
« Les auteurs de menaces de type snatch emploient plusieurs méthodes différentes pour accéder au réseau d’une victime et y maintenir sa persistance », expliquent les agences. ditdénonçant l’évolution constante de leurs tactiques et la capacité des logiciels malveillants à échapper à la détection en redémarrant les systèmes Windows dans Mode sans échec.
« Les affiliés de Snatch s’appuient principalement sur l’exploitation des faiblesses du protocole RDP (Remote Desktop Protocol) pour forcer brutalement et obtenir les informations d’identification d’administrateur des réseaux des victimes. Dans certains cas, les affiliés de Snatch ont recherché des informations d’identification compromises sur des forums/marchés criminels. »
Le Département américain de la Sécurité intérieure (DHS), dans son dernier rapport d’évaluation de la menace intérieure, a noté que les groupes de ransomwares développent continuellement de nouvelles méthodes pour améliorer leur capacité à extorquer financièrement leurs victimes, faisant de 2023 la deuxième année la plus rentable après 2021.
« Ces groupes ont accru leur recours à l’extorsion à plusieurs niveaux, dans laquelle ils chiffrent et exfiltrent les données de leurs cibles et menacent généralement de divulguer publiquement les données volées, d’utiliser des attaques DDoS ou de harceler les clients de la victime pour la contraindre à payer », indique le rapport du DHS. dit.
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Akira en est un bon exemple. Le rançongiciel a élargi sa portée depuis qu’elle est apparue comme une menace basée sur Windows en mars 2023 pour inclure les serveurs Linux et les machines virtuelles VMWare ESXi, soulignant sa capacité à s’adapter rapidement aux tendances. À la mi-septembre, le groupe avait réussi à faire 110 victimes aux États-Unis et au Royaume-Uni.
La résurgence des attaques de ransomwares s’est également accompagnée d’une augmentation des réclamations en matière de cyberassurance, la fréquence globale des réclamations ayant augmenté de 12 % au premier semestre aux États-Unis et les victimes déclarant un montant moyen de perte de plus de 365 000 $, soit un bond de 61 %. à partir du second semestre 2022.
« Les entreprises ayant un chiffre d’affaires de plus de 100 millions de dollars ont connu la plus forte augmentation de fréquence, et même si les autres tranches de revenus étaient plus stables, elles ont également été confrontées à une forte augmentation des sinistres », a déclaré la société de cyberassurance Coalition. dit.
L’évolution constante du paysage des menaces est mieux illustrée par BlackCat, Cl0p et LockBit, qui ont est resté certaines des familles de ransomwares les plus prolifiques et les plus évolutives de ces derniers mois, ciblant principalement les petites et grandes entreprises des secteurs de la banque, de la vente au détail et des transports. Le nombre de groupes RaaS et liés au RaaS actifs a augmenté de 11,3 % en 2023, passant de 39 à 45.
Un rapport d’eSentire la semaine dernière a détaillé deux attaques LockBit dans lesquelles le groupe de cybercriminalité a été observé en train d’exploiter les outils de surveillance et de gestion à distance (RMM) des entreprises victimes (ou les leurs) pour propager le ransomware dans l’environnement informatique ou pousser à leurs clients en aval.
Le recours à de telles techniques de vie hors du territoire (LotL) est une tentative d’éviter la détection et de confondre les efforts d’attribution en mélangeant utilisation malveillante et légitime d’outils de gestion informatique, l’entreprise canadienne dit.
Dans un autre cas d’attaque BlackCat souligné par Sophos ce mois-ci, les attaquants ont été vus en train de chiffrer des comptes Microsoft Azure Storage après avoir accédé au portail Azure d’un client anonyme.
« Au cours de l’intrusion, les auteurs de la menace ont été observés en train d’exploiter divers outils RMM (AnyDesk, Splashtop et Atera) et d’utiliser Chrome pour accéder au coffre-fort LastPass installé de la cible via l’extension du navigateur, où ils ont obtenu l’OTP pour accéder au compte Sophos Central de la cible. , qui est utilisé par les clients pour gérer leurs produits Sophos, » la société dit.
« L’adversaire a ensuite modifié les politiques de sécurité et désactivé la protection contre la falsification dans Central avant de chiffrer les systèmes du client et les comptes de stockage Azure distants via un ransomware exécutable avec l’extension .zk09cvt. »