En los últimos dos años, un grupo de ciberdelincuentes indocumentados ha configurado más de 80 servidores de comando y control (C2). Los investigadores del Grupo IB lo investigaron y lo llamaron ShadowSyndicate. Este sería un intermediario o afiliado de acceso inicial en varias operaciones de ransomware como servicio (RaaS). "Es extremadamente raro que una huella digital Secure Shell (SSH) tenga una red de conexiones tan compleja con una gran cantidad de servidores maliciosos", dijeron. en su informe los expertos “En total, desde julio de 2022, hemos encontrado la huella digital SSH de ShadowSyndicate en 85 servidores”, añaden.

"Además, podemos decir con distintos grados de certeza que el grupo ha utilizado siete familias de ransomware diferentes durante el año pasado, lo que hace que ShadowSyndicate se destaque por su versatilidad", observan. Los analistas de Group-IB se asociaron con el investigador Joshua Penny del MSSP europeo Bridewell y el investigador de malware independiente Michael Koczwara para estudiar todas las conexiones que encontraron e intentar determinar quién está realmente detrás de ShadowSyndicate. ¿Es un servidor que implementa servidores con la misma huella SSH, un ingeniero de DevOps que atiende a actores de amenazas, un servicio de alojamiento protegido para ciberdelincuentes, un intermediario de acceso inicial o un afiliado de un RaaS?

Índice
  1. Conexiones a varios implantes de acceso remoto
  2. Una afiliación exitosa

Conexiones a varios implantes de acceso remoto

Más de 50 de los servidores para los que se encontró la huella digital ShadowSyndicate SSH se utilizaron como servidores C2 para implantes Cobalt Strike. Esta herramienta comercial de pruebas de penetración, que normalmente se vende bajo licencia, se ha convertido en la favorita de muchos grupos de atacantes que utilizan versiones pirateadas. Cada implante de Cobalt Strike suele tener una marca de agua asociada con una clave de licencia única, pero las versiones pirateadas utilizadas por los ciberdelincuentes cuentan con marcas de agua personalizadas como 12345. Entre los servidores operados por ShadowSyndicate, los investigadores encontraron marcas de agua de Cobalt Strike previamente asociadas con ataques que llevaron al despliegue del Familias de ransomware Royal, Cactus, Quantum y Nokoyawa.

Otros servidores con la huella digital SSH de ShadowSyndicate se utilizaron como servidores C2 para Sliver, otra herramienta de prueba de penetración de código abierto escrita en Go, y también para IcedID, un troyano utilizado como malware por muchas bandas criminales. ransomware en los últimos años; para Meterpreter, la implementación del marco de pruebas de penetración Metasploit; y para Matanbuchus, un cargador de malware como servicio (MaaS), que también se utiliza para implementar cargas útiles. De hecho, incluso podría haber una conexión entre algunos de ellos. Por ejemplo, IcedID ya se ha utilizado para implementar implantes Cobalt Strike. También se ha utilizado para las familias de ransomware Karakurt, RansomEXX, Black Basta, Nokoyawa, Quantum, REvil, Xingteam y Conti.

Una afiliación exitosa

Los investigadores dijeron que estaban bastante seguros de que ShadowSyndicate no era un servicio de hosting porque los servidores estaban ubicados en 13 países diferentes, muchos de ellos ubicados en Panamá, y en diferentes redes pertenecientes a diferentes organizaciones. Los expertos encontraron fuertes conexiones entre ShadowSyndicate y los ataques al ransomware Quantum (septiembre de 2022), Nokoyawa (octubre de 2022, noviembre de 2022 y marzo de 2023) y ALPHV (también conocido como BlackCat) en febrero de 2023. Se encontraron conexiones menos evidentes con los ransomware Royal, Cl0p y Play. "Al verificar los servidores de la lista A utilizando fuentes de datos del Grupo IB, encontramos que algunos servidores figuraban con los nombres Ryuk, Conti y Trickbot", dijeron los especialistas. “Sin embargo, estos grupos criminales ya no existen. Ryuk dejó de existir a finales de 2021, mientras que Conti y Trickbot (que están relacionados) quedaron suspendidos a principios de 2022”. Los investigadores creen que los ex miembros de estos grupos pueden continuar con sus actividades delictivas utilizando la misma infraestructura, pero ahora pueden operar individualmente o dentro de otros grupos criminales.

Es posible que ShadowSyndicate sea un IAB (Initial Access Broker), es decir, un actor de amenazas que compromete sistemas y vende acceso a otros ciberdelincuentes, incluidas bandas de ransomware. Sin embargo, los investigadores creen que es más probable que el grupo sea en realidad un afiliado independiente que trabaja para múltiples operaciones de RaaS. En el ecosistema de ransomware, los afiliados son aquellos que irrumpen en empresas e implementan un programa de ransomware a cambio de una parte importante del rescate pagado por las víctimas. Los desarrolladores de ransomware suelen proporcionar el generador de malware y la infraestructura, como el sitio de fuga de datos y el sitio de negociación de rescate. También se encargan de la negociación con las víctimas y la infraestructura de pago. Por otro lado, no se encargan ellos mismos de la piratería y la implementación de malware. "Aunque no podemos emitir una opinión definitiva, toda la evidencia obtenida durante este proyecto de investigación conjunto sugiere que la hipótesis más plausible es que ShadowSyndicate es un afiliado que trabaja con varios RaaS", dijeron los investigadores.