Как минимум 7 друзей ShadowSyndicate: компании всего мира под прицелом киберальянса

Как минимум 7 друзей ShadowSyndicate: компании всего мира под прицелом киберальянса

Группе удалось прокачаться на максимум. Кто же ее союзники?

image

Эксперты по кибербезопасности следят за активностью новой киберпреступной группы, известной как ShadowSyndicate (ранее Infra Storm).

Согласно совместному техническому отчету компаний Group-IB и Bridewell, хакеры сотрудничают с множеством групп и используют как минимум 7 семейств программ-вымогателей.

Начиная с 16 июля 2022 года злоумышленники взаимодействовали с рядом вымогательских ПО, включая Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus и Play. После эксплуатации применялись программы вроде Cobalt Strike и Sliver, а также загрузчики: например, IcedID и Matanbuchus.

Исследователи обнаружили характерный SSH-отпечаток на 85 серверах. Из этих серверов 52 использовались для управления и координации вредоносных действий с помощью инструмента «Cobalt Strike». Также было найдено 8 разных ключей для активации этого инструмента.

Большинство серверов находится в Панаме (23), на Кипре (11), в России (9) и на Сейшелах (8). Group-IB также выявила перекрестные связи между ShadowSyndicate и другими вредоносными программами, такими как TrickBot, Ryuk/Conti, FIN7 и TrueBot.

«Из 149 IP-адресов, связанных с группой Cl0p, 12 сменили владельца на ShadowSyndicate с августа 2022 года. Значит, возможно, группы как-то разделяют между собой инфраструктуру», — отметили специалисты.

Мировое кибербезопасное сообщество с тревогой отмечает усиление активности хакеров. Подтверждением этому стали недавние события в Германии, где правоохранительные органы задержали двух ключевых фигур группы DoppelPaymer: 44-летнего украинца и местного жителя 45 лет.

Внимание ФБР и CISA привлекает группа Snatch, которая с середины 2021 года атакует объекты критической инфраструктуры США и других стран.

Особое беспокойство у экспертов вызывает деятельность группы Akira: с марта текущего года они осуществили более ста успешных атак на объекты в США и Великобритании.

В этом году страховые иски, связанные с киберинцидентами в США, значительно возросли. Средний финансовый ущерб от одной атаки превышает $365 000.

Тем не менее, есть и позитивные моменты. По свежим данным от GuidePoint и NCC Group, август 2023 года показал снижение активности программ-вымогателей на 20%. Только группа LockBit не уменьшила свою активность, на их счету 124 атаки за месяц.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь