ShadowSyndicate, Temmuz 2022’den bu yana aktif olan, çeşitli fidye yazılımı gruplarıyla işbirliği yapan ve Cobalt Strike, Sliver, IcedID ve Matanbuchus kötü amaçlı yazılımları da dahil olmak üzere çeşitli araç setinden yararlanan üretken bir tehdit aktörüdür.
Operasyonlarının ayırt edici bir özelliği, belirli bir SSH parmak izinin (1ca4cbac895fc3bd12417b77fc6ed31d) çok sayıda sunucuda tutarlı bir şekilde kullanılmasıdır ve en az 52’si Cobalt Strike C2’ye bağlıdır.
ALPHV/BlackCat ve LockBit’in kesintiye uğramasının ardından RansomHub, önde gelen bir RaaS operatörü olarak ortaya çıktı. Bu grupların bıraktığı boşluktan yararlanan RansomHub, agresif bir şekilde bu grupların eski üyelerini yeraltı forumlarında işe aldı.
Bu işe alım stratejisi, güvenlik açıklarından aktif olarak yararlanılmasıyla birleştiğinde mağdur sayısında önemli bir artışa yol açarak 2024’te yaklaşık 500 rapor edilen mağdura ulaştı.
Başarıları, fidye yazılımı ortamında önemli bir oyuncu olarak konumlarını güçlendiren siber suç ekosistemindeki hızlı genişlemelerine ve agresif pazarlamalarına bağlanabilir.
Analiz, grubun Eylül ve Ekim 2024 arasında birden fazla saldırıda RansomHub’u kullandığını ortaya çıkardığından, ShadowSyndicate, RansomHub ile bağlantı kurarak fidye yazılımı cephaneliğini genişletti.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Gözlemlenen etkinlik, RansomHub’un Veri Sızıntı Sitesi (DLS) aracılığıyla veri sızıntılarını önlemek için ödeme talep eden fidye notlarıyla birlikte şifrelemeyi de içeriyor.
SSH yoluyla bilinen ShadowSyndicate sunucularına eşzamanlı veri sızdırılması, grubun agresif operasyonel değişimini daha da vurguluyor.
Darktrace araştırmacıları, ShadowSyndicate’in RansomHub’u çeşitli sektörlerdeki dört ayrı olayda dağıttığını gözlemledi ve saldırılar, iç keşifle başlayan çok aşamalı bir modeli izledi.
Tehdit aktörleri kurbanın ağını agresif bir şekilde taradı ve 22 (SSH), 445 (SMB) ve 3389 (RDP) gibi kritik bağlantı noktaları üzerinden diğer cihazlara bağlantı kurmaya çalışarak güvenlik açıklarını araştırdı.
İlk aşama, ağ altyapısının haritasını çıkarmayı, potansiyel giriş noktalarını belirlemeyi ve sonuçta dosya şifrelemeye ve veri sızmasına yol açacak sonraki saldırı aşamaları için önemli bilgileri toplamayı amaçlıyordu.
RansomHub saldırıları, ilk erişim için Splashtop’tan yararlanır ve ardından ShadowSyndicate’in C2 altyapısına giden SSH bağlantılarından yararlanır (46.161.27)[.]151) veri sızması için WinSCP kullanılıyor.
HTTP ve SSL bağlantıları aracılığıyla MEGA bulut depolama alanına aktarımlar da dahil olmak üzere, sızmaya yönelik çeşitli yöntemler mevcuttu.
Yanal hareket, yeni idari kimlik bilgilerinin kullanılmasını ve “şu gibi adlara sahip şüpheli yürütülebilir dosyaların” konuşlandırılmasını içeriyordu:[a-zA-Z]{6}.exe” ve “Defeat-Defender2.bat” gibi komut dosyalarını SMB aracılığıyla ağ üzerinden aktarabilirsiniz.
Muhtemelen ShadowSyndicate grubu tarafından düzenlenen, RansomHub’dan yararlanan fidye yazılımı saldırıları birden fazla sistemi hedef aldı. Saldırılar, dosya adlarının altı karakterlik benzersiz bir alfasayısal uzantıyla değiştirildiği dosya şifrelemeyi içeriyordu.
Otonom Müdahale devre dışı bırakılırken, kontrol altına alma eylemlerinin otomatikleştirilmesi durumunda etkiyi azaltabileceği öne sürüldü.
RansomHub gibi Hizmet Olarak Fidye Yazılımı modellerinin yükselişi, tehdit ortamını daha da kötüleştirerek kuruluşların sağlam savunmalar uygulamasını hayati hale getiriyor.