Araştırmacılar tarafından, özellikle birden fazla fidye yazılımı ailesi kullanan ve Temmuz 2022’den bu yana çeşitli fidye yazılımı saldırılarıyla bağlantısı olduğu tespit edilen yeni bir hizmet olarak fidye yazılımı (RaaS) sağlayıcısı keşfedildi.
Bu yeni tehdit aktörüne, altyapılarında karmaşık bir bağlantı ağı kullanan “ShadowSyndicate” adı verildi. Bu tehdit aktörünün, saldırıları için Cobalt Strike, IcedID ve Sliver kötü amaçlı yazılımı gibi pek çok kötü şöhretli araç seti kullandığı gerekçesiyle soruşturuluyor.
Ancak tehdit aktörünün RaaS bağlı kuruluşu mu yoksa ilk erişim komisyoncusu mu olduğuna dair onaylanmış bir rapor yok gibi görünüyor.
ShadowSyndicate Raas Sağlayıcısı
ShadowSyndicate, Temmuz 2022’de tespit edildi ve en az yedi farklı fidye yazılımı ailesi kullandığı tespit edildi. Ayrıca bu tehdit aktörünün Royal, Cl0p, Cactus ve Play fidye yazılımı faaliyetleriyle bağlantılı olduğu söyleniyor.
Hizmet Olarak Fidye Yazılımı (RaaS) grubu, operasyonları için çeşitli araçlar kullanır. Bunlar arasında gelişmiş penetrasyon testleri gerçekleştirmek için güçlü bir araç olan Cobalt Strike; Sliver, başka bir penetrasyon testi aracı; Finansal bilgileri çalan bir bankacılık Truva Atı olan IcedID; Matanbuchus, bir arka kapı Truva Atı; ve güvenliği ihlal edilmiş sistemlerde komutları yürütmek için kullanılan bir istismar sonrası araç olan Meterpreter.
Ayrıca altyapıları ve Cl0p/Truebot ile de bağlantı sağlandı. Ayrıca, tehdit aktörünün Quantum fidye yazılımı faaliyeti (Eylül 2022), Nokoyawa fidye yazılımı faaliyeti (Ekim ve Kasım 2022 ile Mart 2023) ve Şubat 2023’teki ALPHV faaliyeti ile ilişkilendirildiği belirtiliyor.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Daha detaylı incelemelerde tehdit aktörünün 85 kötü amaçlı sunucusunda tek SSH parmak izi kullandığı, bunların 52’sinin ise Cobalt Strike C2 kullandığı tespit edildi. Diğer sunucuların Sliver, IcedID ve Matanbuchus kullandığı tespit edildi. Tehdit aktörünün ayrıca birçok ülkede 18 farklı sunucusu vardı.
Bir sunucuyu tanımlamak için SSH, müşterilerin doğrulama amacıyla kullanabileceği benzersiz bir sunucu ana bilgisayar anahtarı parmak izi oluşturur.
Araştırmacılar ShadowSyndicate sunucularının tamamının aynı kuruluşa ait olmadığını belirtti. Bu bilgi, ShadowSyndicate’in daha önce varsayıldığı gibi sunucularında SSH parmak izini ayarlayan bir barındırıcı olma olasılığını ortadan kaldırır. Daha ayrıntılı bir araştırma sonucunda, olaya 18 farklı sunucu sahibinin dahil olduğu keşfedildi.
ShadowSyndicate ile diğer kötü amaçlı yazılım aileleri arasındaki ilişki, saldırganın kontrol ettiği her sunucudaki yapılandırmalar analiz edildikten sonra keşfedildi. Ayrıca Ryuk, Conti ve Trickbot’a ait tehdit aktörlerinin diğer suç gruplarında da faaliyetlerini sürdürdüğünden şüpheleniliyor.
Ancak şüpheyi destekleyecek güvenilir bir kanıt yok gibi görünüyor. Group-IB, Bridewell ile işbirliği içinde, tehdit aktörü ve tehdit aktörü tarafından kontrol edilen IP sunucuları, diğer fidye yazılımı gruplarıyla ilişkileri, Cobalt Strike filigranları ve diğer bilgiler de dahil olmak üzere altyapıları hakkında eksiksiz bir rapor yayınladı.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.