Yeni bir tehdit grubu, ALPHV, Quantum ve Nokoyawa gibi üretken olanlar da dahil olmak üzere birden fazla fidye yazılımı ailesini dağıtmak ve yönetmek için nispeten geniş bir kötü amaçlı sunucu ağından yararlanıyor.
Grubun en az Haziran 2022’den beri aktif olduğu ve Group-IB ve diğer araştırmacılar tarafından yapılan bir analize göre Cl0p, Play, Royal ve Cactus fidye yazılımı ailelerinin operatörleriyle de bağlantıları olduğu görülüyor.
Sıra Dışı Bir RaaS İştiraki
Mevcut kanıtlara göre, Group-IB’nin ShadowSyndicate olarak takip ettiği tehdit aktörü, hizmet olarak fidye yazılımı (RaaS) üyesi gibi görünüyor; bu, diğer RaaS operatörleri tarafından yazılan fidye yazılımlarını, fidye ödemesi.
Group-IB tehdit istihbaratı analisti Eline Switzer, ShadowSyndicate’i diğer bağlı kuruluşlardan biraz farklı kılan şeyin, son bir yılda dağıttığı fidye yazılımı ailelerinin sayısı olduğunu söylüyor. Switzer, “Bu aşamada hipotezimiz ShadowSyndicate’in bir RaaS bağlı kuruluşu olduğu yönünde; ancak bu, bu kötü niyetli faaliyetin çeşitli potansiyel açıklamalarından biri” diyor. “Özellikle tek bir yıl içerisinde birçok farklı fidye yazılımı ailesinin kullanılması, tek bir bağlı kuruluşa özgü bir durum ve geçmişte bunun bu tür örneklerini görmedik.”
Fidye yazılımı bağlı kuruluşları genellikle adına fidye yazılımını dağıttıkları RaaS operatörleri kadar iyi tanınmaz. Ancak son yıllarda REvil/Sodinokibi, Ryuk, Conti, Hive, DoppelPaymer ve Lockbit gibi hizmet olarak fidye yazılımı tekliflerinin yaygınlaşmasında benzersiz bir rol oynadılar. RaaS operatörleri genellikle kötü amaçlı yazılım yüklerini, destekleyici altyapıyı ve hatta bazen ilk erişimi sağlarken, kötü amaçlı yazılımların dağıtılmasından, ağlara bulaşmasından, fidye pazarlığı yapılmasından ve ödemelerin toplanmasından genellikle bağlı kuruluşlar sorumludur. Lockbit gibi büyük RaaS programları, saldırıları gerçekleştiren ve kötü amaçlı yazılımlarını dağıtan onlarca, hatta bazen yüzlerce bağlı kuruluşa sahip olabilir.
Ancak tek bir bağlı kuruluşun ShadowSyndicate gibi diğerlerinden öne çıkması nadirdir ve kapsamının bu kadar geniş olması da nadirdir. Örneğin Group-IB’nin ShadowSyndicate operasyonuna ilişkin, büyük ölçüde kamuya açık bilgilerin analizine dayanan değerlendirmesi, tehdit aktörünün saldırılarında en az 85 sunucu kullandığını gösterdi. Bu sayıyı bağlam içine koymak için Switzer, ALPHV, Hive ve Conti gibi yaklaşık 50 sunucu kullanan grupları ve 100’den fazla sunucuya sahip Cl0p ve Royal gibi operasyonları işaret ediyor.
Geniş kapsamlı
Group-IB, ShadowSyndicate’in sunucularının farklı bölgelerde bulunduğunu, ancak tehdit aktörünün tercih ettiği ülkenin Panama gibi göründüğünü tespit etti. ShadowSyndicate’in Secure Shell (SSH) parmak izine sahip sistemlerden yaklaşık 52’si, tehdit aktörünün kötü amaçlı yazılım kampanyasını yönetmesine ve koordine etmesine olanak tanıyan Cobalt Strike komuta ve kontrol (C2) sunucuları olarak kullanılıyor.
Group-IB, Cobalt Strike’a ek olarak ShadowSyndicate’in saldırılarını gerçekleştirirken Sliver ve Meterpreter penetrasyon testi araçları, IcedID bankacılık Truva atı ve kötü amaçlı yazılım yükleyicisi Matanbuchus gibi diğer araçları kullandığını tespit etti. Group-IB, ShadowSyndicate’in C2 sunucularını 2022’nin sonlarında bir dizi Nokoyawa fidye yazılımı saldırısına, Eylül 2022’de bir Quantum saldırısına ve bir ay önce ALPHV, diğer adıyla BlackCat fidye yazılımına bağlamayı başardı.
Şirket, ShadowSyndicate’in C2 ve sunucu altyapısı ile Play, Royal ve Cl0p gibi diğer tehlikeli fidye yazılımı aileleri arasında benzer bağlantılar kurmayı başardı. Group-IB’nin ShadowSyndicate’in kötü amaçlı altyapısıyla ilişkilendirebildiği fidye yazılımı saldırılarının çoğu bu yıl gerçekleşti.
ShadowSyndciate’in halihazırda çok sayıda ve sayıları giderek artan tehdit aktörleriyle dolu bir alandaki varlığı, saldırganların fidye yazılımı saldırıları yoluyla elde edebildikleri getirilerin devam ettiğinin bir göstergesi. NCC Group’un bu hafta yayınladığı yeni bir rapor, fidye yazılımı saldırılarının hacminin Temmuz ayında zirveye ulaştıktan sonra geçen ay hafif bir düşüş gösterdiğini gösterdi. Beklendiği gibi, saldırıların neredeyse yarısı (%47) Kuzey Amerika’daki kuruluşları hedef alırken, en büyük darbeyi endüstriyel, tüketici ve teknoloji sektörleri üstlendi. Lockbit 3.0 bağlı kuruluşları, NCC’nin saydığı 390 saldırının 125’inden sorumluydu; bu, Temmuz ayına göre aylık %150 artışa işaret ediyor.
Group-IB, “Araştırmamızın başlangıcında ShadowSyndicate hakkında kanıtlamak için yola çıktığımız beş hipotez oluşturduk” dedi. Bunların arasında ShadowSyndicate’in diğer tehdit aktörleri için kötü amaçlı sunucular barındırdığı veya ilk erişim komisyoncusu veya RaaS ortağı olduğu yönündeki teoriler de vardı. Group-IB, “Nihai bir karara ulaşmamış olsak da, araştırmamız sırasında elde edilen tüm gerçekler şunu gösteriyor: ShadowSyndicate, çeşitli kötü amaçlı yazılım türlerini kullanan bir RaaS bağlı kuruluşudur.” dedi.