ShadowSyndicate steht mit 7 Ransomware-Familien in Verbindung
Cybersecurity-Experten haben eine haben eine bislang unbekannte Cybercrime-Gruppierung namens ShadowSyndicate (ehemals bekannt als Infra Storm) identifiziert. Diese Gruppe hat im Verlauf des letzten Jahres mutmaßlich eine beeindruckende Bandbreite von sieben verschiedenen Ransomware-Familien eingesetzt.
„ShadowSyndicate ist ein Bedrohungsakteur, der mit verschiedenen Ransomware-Gruppen und Partnern von Ransomware-Programmen zusammenarbeitet“, so Group-IB und Bridewell in einem gemeinsamen Bericht. Der Akteur, der seit dem 16. Juli 2022 aktiv ist, steht in Verbindung mit Ransomware-Aktivitäten von Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus und Play. Darüber hinaus setzt er auch handelsübliche Post-Exploitation-Tools wie Cobalt Strike und Sliver sowie Loader wie IcedID und Matanbuchus ein.
Die Ergebnisse basieren auf einem eindeutigen SSH-Fingerabdruck (1ca4cbac895fc3bd12417b77fc6ed31d), der auf 85 Servern entdeckt wurde, von denen 52 als Command-and-Control (C2) für Cobalt Strike verwendet wurden. Unter diesen Servern befinden sich acht verschiedene Cobalt Strike-Lizenzschlüssel (oder Wasserzeichen). Die Mehrheit der Server (23) befindet sich in Panama, gefolgt von Zypern (11), Russland (9), den Seychellen (8), Costa Rica (7), Tschechien (7), Belize (6), Bulgarien (3), Honduras (3) und den Niederlanden (3).
Group-IB meldet, weitere Infrastrukturüberschneidungen gefunden zu haben, die ShadowSyndicate mit TrickBot, Ryuk/Conti, FIN7 und TrueBot Malware-Operationen in Verbindung bringen. „Von den 149 IP-Adressen, die wir mit Cl0p-Ransomware-Affiliates in Verbindung gebracht haben, haben wir seit August 2022 gesehen, dass 12 IP-Adressen aus 4 verschiedenen Clustern den Besitzer zu ShadowSyndicate gewechselt haben, was darauf hindeutet, dass es eine mögliche gemeinsame Nutzung der Infrastruktur zwischen diesen Gruppen gibt“, so das Unternehmen.
Die Enthüllung kommt zu einem Zeitpunkt, an dem die deutschen Strafverfolgungsbehörden einen zweiten gezielten Schlag gegen Akteure ankündigen, die mit der DoppelPaymer-Ransomware-Gruppe in Verbindung stehen. Einige davon wurden bereits im März dieses Jahres ins Visier genommen. Die Personen, ein 44-jähriger Ukrainer und ein 45-jähriger deutscher Staatsangehöriger, sollen Schlüsselpositionen innerhalb des Netzwerks innegehabt und illegale Erlöse aus den Ransomware-Angriffen erhalten haben. Ihre Namen wurden nicht bekannt gegeben.
Die Entwicklung folgt auch einer gemeinsamen Mitteilung des U.S. Federal Bureau of Investigation (FBI) und der Cybersecurity and Infrastructure Security Agency (CISA) über einen doppelten Erpressungsakteur namens Snatch (ehemals Team Truniger), der seit Mitte 2021 ein breites Spektrum kritischer Infrastrukturen angreift.
„Snatch-Bedrohungsakteure setzen verschiedene Methoden ein, um sich Zugang zum Netzwerk eines Opfers zu verschaffen und dort zu verbleiben“, so die Agenturen. Sie wiesen auf die konsequente Weiterentwicklung der Taktiken und die Fähigkeit der Malware hin, sich der Erkennung zu entziehen, indem sie Windows-Systeme in den abgesicherten Modus umschalten. „Snatch-Ableger nutzen in erster Linie Schwachstellen im Remote Desktop Protocol (RDP) aus, um Administrator-Anmeldeinformationen für die Netzwerke der Opfer zu erzwingen und zu erlangen. In einigen Fällen haben Snatch-Mitglieder kompromittierte Anmeldedaten in kriminellen Foren/Märkten gesucht“.
Das US-Ministerium für Heimatschutz (DHS) stellte in seinem jüngsten Bericht zur Bewertung der Heimatbedrohung fest, dass Ransomware-Gruppen ständig neue Methoden entwickeln, um ihre Fähigkeit zur finanziellen Erpressung von Opfern zu verbessern. 2023 werde für sie wohl das zweitprofitabelste Jahr nach 2021. „Diese Gruppen setzen verstärkt auf mehrstufige Erpressung, bei der sie die Daten ihrer Opfer verschlüsseln und exfiltrieren und in der Regel damit drohen, die gestohlenen Daten öffentlich zu machen, DDoS-Angriffe durchzuführen, oder die Kunden des Opfers zu belästigen, um das Opfer zur Zahlung zu zwingen“, so der DHS-Bericht.
Akira ist ein typisches Beispiel dafür. Die Ransomware hat ihre Reichweite seit ihrem Auftauchen als Windows-basierte Bedrohung im März 2023 auf Linux-Server und virtuelle VMWare ESXi-Maschinen ausgeweitet. Das zeigt ihre Fähigkeit, sich schnell an Trends anzupassen. Bis Mitte September hat die Gruppe bereits 110 Opfer in den USA und Großbritannien erfolgreich angegriffen.
Das Wiederaufleben von Ransomware-Angriffen ging auch mit einem sprunghaften Anstieg der Cyber-Versicherungsansprüche einher: Die Gesamthäufigkeit der Ansprüche stieg in der ersten Jahreshälfte in den USA um 12 Prozent, und die Opfer meldeten eine durchschnittliche Schadenssumme von mehr als 365.000 US-Dollar. Das entspricht einem Anstieg von 61 Prozent gegenüber der zweiten Jahreshälfte 2022.
„Unternehmen mit einem Umsatz von mehr als 100 Millionen Dollar verzeichneten den größten Anstieg der Schadenhäufigkeit. Unternehmen in niedrigeren Umsatzbereichen wurden zwar etwas seltener getroffen, jedoch gab es auch bei ihnen einen Anstieg der Schadenhäufigkeit“, so das Cyberversicherungsunternehmen Coalition.
Der ständige Wandel in der Bedrohungslandschaft wird am besten durch BlackCat, Cl0p und LockBit veranschaulicht, die in den letzten Monaten zu den produktivsten und am weitesten entwickelten Ransomware-Familien gehörten und in erster Linie auf kleine und große Unternehmen in den Bereichen Banken, Einzelhandel und Transport abzielten. Die Zahl der aktiven RaaS- und RaaS-verwandten Gruppen ist im Jahr 2023 um 11,3 Prozent gestiegen, von 39 auf 45.
In einem Bericht von eSentire wurden letzte Woche zwei LockBit-Angriffe beschrieben, bei denen die E-Crime-Gruppe beobachtet wurde, wie sie die über das Internet zugänglichen Remote-Monitoring- und Management-Tools (RMM) der Opfer (oder ihre eigenen) nutzte, um die Ransomware in der IT-Umgebung zu verbreiten, oder an ihre Kunden weiterzuleiten. Das kanadische Unternehmen erklärte, dass der Rückgriff auf solche „Living-off-the-land“-Techniken (LotL) ein Versuch ist, die Entdeckung zu vermeiden und die Zuordnungsbemühungen durcheinander zu bringen, indem böswillige und legitime Nutzung von IT-Management-Tools vermischt werden.
In einem anderen Fall eines BlackCat-Angriffs, auf den Sophos kürzlich aufmerksam machte, wurden die Angreifer dabei beobachtet, wie sie Microsoft Azure Storage-Konten verschlüsselten, nachdem sie sich Zugang zum Azure-Portal eines ungenannten Kunden verschafft hatten. „Während des Eindringens wurden die Angreifer dabei beobachtet, wie sie verschiedene RMM-Tools (AnyDesk, Splashtop und Atera) nutzten und mit Chrome über die Browser-Erweiterung auf den installierten LastPass-Datenspeicher des Ziels zugriffen, wo sie das OTP für den Zugriff auf das Sophos Zentralkonto (Central) des Ziels erhielten, das von Kunden zur Verwaltung ihrer Sophos-Produkte verwendet wird“, so das Unternehmen. „Der Angreifer änderte dann die Sicherheitsrichtlinien und deaktivierte den Manipulationsschutz in Central, bevor er die Systeme des Kunden und Remote-Azure-Storage-Konten über eine ausführbare Ransomware mit der Erweiterung .zk09cvt verschlüsselte.“
Während die Bedrohungslandschaft weiterhin von aufstrebenden, flüchtigen, sich entwickelnden und etablierten Akteuren geprägt ist, haben neue Statistiken von GuidePoint Security und der NCC Group einen Rückgang der Ransomware-Angriffe um mehr als 20 Prozent im August 2023 ergeben. Dies sei vor allem auf die Tatsache zurückzuführen, dass die massenhafte Ausnutzung der MOVEit Transfer-Anwendung durch Cl0p möglicherweise kurz vor ihrem Ende steht.
Mit Stand vom 26. September 2023 ist die Zahl der Organisationen, die bekanntermaßen von dem MOVEit-Hack betroffen sind, auf 2.120 gestiegen, während die Zahl der betroffenen Einzelpersonen laut Emsisoft 62 Millionen übersteigt.
Das Ransomware-Schwergewicht Lockbit war für 124 der 380 Angriffe im August verantwortlich, was im Vergleich zum Vormonat einen deutlichen Anstieg von 41 Opfern bedeutet. BlackCat, Akira und 8Base belegten die Plätze zwei, drei und vier mit 39, 36 beziehungsweise 34 Angriffen. Cl0p hingegen veröffentlichte die Daten von vier Opfern, gegenüber 90 im Juni und 170 im Juli.