Как минимум 7 друзей ShadowSyndicate: компании всего мира под прицелом киберальянса

Эксперты по кибербезопасности следят за активностью новой киберпреступной группы, известной как ShadowSyndicate (ранее Infra Storm).

Согласно совместному техническому отчету компаний Group-IB и Bridewell, хакеры сотрудничают с множеством групп и используют как минимум 7 семейств программ-вымогателей.

Начиная с 16 июля 2022 года злоумышленники взаимодействовали с рядом вымогательских ПО, включая Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus и Play. После эксплуатации применялись программы вроде Cobalt Strike и Sliver, а также загрузчики: например, IcedID и Matanbuchus.

Исследователи обнаружили характерный SSH-отпечаток на 85 серверах. Из этих серверов 52 использовались для управления и координации вредоносных действий с помощью инструмента «Cobalt Strike». Также было найдено 8 разных ключей для активации этого инструмента.

Большинство серверов находится в Панаме (23), на Кипре (11), в России (9) и на Сейшелах (8). Group-IB также выявила перекрестные связи между ShadowSyndicate и другими вредоносными программами, такими как TrickBot, Ryuk/Conti, FIN7 и TrueBot.

«Из 149 IP-адресов, связанных с группой Cl0p, 12 сменили владельца на ShadowSyndicate с августа 2022 года. Значит, возможно, группы как-то разделяют между собой инфраструктуру», — отметили специалисты.

Мировое кибербезопасное сообщество с тревогой отмечает усиление активности хакеров. Подтверждением этому стали недавние события в Германии, где правоохранительные органы задержали двух ключевых фигур группы DoppelPaymer: 44-летнего украинца и местного жителя 45 лет.

Внимание ФБР и CISA привлекает группа Snatch, которая с середины 2021 года атакует объекты критической инфраструктуры США и других стран.

Особое беспокойство у экспертов вызывает деятельность группы Akira: с марта текущего года они осуществили более ста успешных атак на объекты в США и Великобритании.

В этом году страховые иски, связанные с киберинцидентами в США, значительно возросли. Средний финансовый ущерб от одной атаки превышает $365 000.

Тем не менее, есть и позитивные моменты. По свежим данным от GuidePoint и NCC Group, август 2023 года показал снижение активности программ-вымогателей на 20%. Только группа LockBit не уменьшила свою активность, на их счету 124 атаки за месяц.