Des experts en cybersécurité ont mis en lumière un nouveau groupe de cybercriminalité connu sous le nom de Syndicat de l’Ombre (anciennement Infra Storm) qui aurait pu exploiter jusqu’à sept familles de ransomwares différentes au cours de l’année écoulée.
« ShadowSyndicate est un acteur menaçant qui travaille avec divers groupes de ransomwares et affiliés à des programmes de ransomware », ont déclaré Group-IB et Bridewell dans un nouveau rapport conjoint.
L’acteur, actif depuis le 16 juillet 2022, est lié à des activités de ransomware liées aux souches Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus et Play, tout en déployant également des outils de post-exploitation prêts à l’emploi comme Cobalt Strike et Sliver. ainsi que des chargeurs tels que IcedID et Matanbuchus.
Les résultats sont basés sur une empreinte SSH distincte (1ca4cbac895fc3bd12417b77fc6ed31d) découverte sur 85 serveurs, dont 52 ont été utilisés comme commande et contrôle (C2) pour Cobalt Strike. Parmi ces serveurs se trouvent huit clés de licence (ou filigranes) Cobalt Strike différentes.
La majorité des serveurs (23) sont situés au Panama, suivi de Chypre (11), de la Russie (9), des Seychelles (8), du Costa Rica (7), de la Tchéquie (7), du Belize (6), de la Bulgarie (3). , Honduras (3) et Pays-Bas (3).
Group-IB a déclaré avoir également découvert des chevauchements d’infrastructures supplémentaires qui relient ShadowSyndicate aux opérations de logiciels malveillants TrickBot, Ryuk/Conti, FIN7 et TrueBot.
« Sur les 149 adresses IP que nous avons liées aux affiliés du ransomware Cl0p, nous avons vu, depuis août 2022, 12 adresses IP de 4 clusters différents changer de propriétaire en ShadowSyndicate, ce qui suggère qu’il existe un certain partage potentiel d’infrastructure entre ces groupes. » » ont déclaré les entreprises.
Cette divulgation intervient alors que les autorités allemandes chargées de l’application des lois ont annoncé une deuxième frappe ciblée contre des acteurs associés au groupe de ransomware DoppelPaymer, dont certains ont été ciblés plus tôt en mars, exécutant des mandats de perquisition contre deux suspects en Allemagne et en Ukraine.
Les individus, un Ukrainien de 44 ans et un Allemand de 45 ans, auraient occupé des responsabilités clés au sein du réseau et auraient reçu des produits illicites des attaques de ransomware. Leurs noms n’ont pas été divulgués.
Ce développement fait également suite à un avis conjoint émis par le Federal Bureau of Investigation (FBI) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) concernant un double acteur d’extorsion appelé Snatch (anciennement Team Truniger) qui a ciblé un large éventail de secteurs d’infrastructures critiques. depuis mi-2021.
« Les auteurs de menaces de type snatch emploient plusieurs méthodes différentes pour accéder au réseau d’une victime et y rester persistant », ont indiqué les agences, soulignant l’évolution constante de leurs tactiques et la capacité du malware à échapper à la détection en redémarrant les systèmes Windows en mode sans échec.
« Les affiliés de Snatch s’appuient principalement sur l’exploitation des faiblesses du protocole RDP (Remote Desktop Protocol) pour forcer brutalement et obtenir les informations d’identification d’administrateur des réseaux des victimes. Dans certains cas, les affiliés de Snatch ont recherché des informations d’identification compromises sur des forums/marchés criminels. »
Le Département américain de la Sécurité intérieure (DHS), dans son dernier rapport d’évaluation de la menace intérieure, a noté que les groupes de ransomwares développent continuellement de nouvelles méthodes pour améliorer leur capacité à extorquer financièrement leurs victimes, faisant de 2023 la deuxième année la plus rentable après 2021.
« Ces groupes ont accru leur recours à l’extorsion à plusieurs niveaux, dans laquelle ils chiffrent et exfiltrent les données de leurs cibles et menacent généralement de divulguer publiquement les données volées, d’utiliser des attaques DDoS ou de harceler les clients de la victime pour la contraindre à payer », indique le rapport du DHS. dit.
Akira en est un bon exemple. Le ransomware a étendu sa portée depuis son apparition en tant que menace basée sur Windows en mars 2023 pour inclure les serveurs Linux et les machines virtuelles VMWare ESXi, soulignant sa capacité à s’adapter rapidement aux tendances. À la mi-septembre, le groupe avait réussi à faire 110 victimes aux États-Unis et au Royaume-Uni.
La résurgence des attaques de ransomwares s’est également accompagnée d’une augmentation des réclamations en matière de cyberassurance, la fréquence globale des réclamations ayant augmenté de 12 % au premier semestre aux États-Unis et les victimes déclarant un montant moyen de perte de plus de 365 000 $, soit un bond de 61 %. à partir du second semestre 2022.
« Les entreprises ayant un chiffre d’affaires de plus de 100 millions de dollars ont connu la plus forte augmentation de fréquence, et même si les autres tranches de revenus étaient plus stables, elles ont également été confrontées à une forte augmentation des sinistres », a déclaré la société de cyberassurance Coalition.
L’évolution constante du paysage des menaces est parfaitement illustrée par BlackCat, Cl0p et LockBit, qui restent parmi les familles de ransomwares les plus prolifiques et les plus évolutives au cours des derniers mois, ciblant principalement les petites et grandes entreprises des secteurs de la banque, de la vente au détail et des transports. Le nombre de groupes RaaS et liés au RaaS actifs a augmenté de 11,3 % en 2023, passant de 39 à 45.
Un rapport d’eSentire la semaine dernière a détaillé deux attaques LockBit dans lesquelles le groupe de cybercriminalité a été observé en train d’exploiter les outils de surveillance et de gestion à distance (RMM) des entreprises victimes (ou les leurs) pour propager le ransomware dans l’environnement informatique ou pousser à leurs clients en aval.
Le recours à de telles techniques de vie hors du territoire (LotL) est une tentative d’éviter la détection et de confondre les efforts d’attribution en mélangeant utilisation malveillante et légitime des outils de gestion informatique, a déclaré la société canadienne.
Dans un autre cas d’attaque BlackCat souligné par Sophos ce mois-ci, les attaquants ont été vus en train de chiffrer des comptes Microsoft Azure Storage après avoir accédé au portail Azure d’un client anonyme.
« Au cours de l’intrusion, les auteurs de la menace ont été observés en train d’exploiter divers outils RMM (AnyDesk, Splashtop et Atera) et d’utiliser Chrome pour accéder au coffre-fort LastPass installé de la cible via l’extension du navigateur, où ils ont obtenu l’OTP pour accéder au compte Sophos Central de la cible. , qui est utilisé par les clients pour gérer leurs produits Sophos », a déclaré la société.
« L’adversaire a ensuite modifié les politiques de sécurité et désactivé la protection contre la falsification dans Central avant de chiffrer les systèmes du client et les comptes de stockage Azure distants via un ransomware exécutable avec l’extension .zk09cvt. »
