ShadowSyndicate и эволюция RaaS: новая угроза кибербезопасности
Недавний отчет экспертов по кибербезопасности выявил масштабную и многоуровневую деятельность преступных группировок в сфере программ-вымогателей как услуг (RaaS). В центре внимания — ShadowSyndicate, группа с заметным присутствием в Европе и, предположительно, управляемая из России. Их методы и связи демонстрируют высокий уровень организации и скоординированность, что делает эту сеть особенно опасной для глобального киберпространства.
ShadowSyndicate: многофункциональная угроза с международными связями
ShadowSyndicate зарекомендовал себя как ключевой игрок в экосистеме RaaS, используя сложные технические решения для повышения безопасности своих операций. От группы связаны такие известные семейства программ-вымогателей, как Lockbit и Cl0p. В числе их отличительных черт — единый отпечаток Secure Shell (SSH) на всех серверах, что значительно повышает устойчивость к действиям правоохранительных органов.
Особо тревожной является связь ShadowSyndicate с государственными структурами Китая и Северной Кореи. Их тактика включает не только внедрение программ-вымогателей, но и информационные операции, направленные на манипуляции в социально-политической сфере. Среди жертв — политические деятели, подвергшиеся атакам во время выборов в США.
Технологические индикаторы и инструменты
- Совпадения с атакой Citrix Bleed, выявленные через общие IP-адреса и SSH-ключи.
- Использование infostealer-вредоносных программ, таких как Amos и ToneShell, для кибершпионажа.
- Сложная инфраструктура, основанная на пуленепробиваемых механизмах размещения, часто регистрируемых в оффшорных юрисдикциях, включая Панаму и Сейшельские острова.
Важную роль в укреплении операций ShadowSyndicate играют местные российские организации, которые обеспечивают поддержку на уровне влияния и защищенности.
Расширение круга: SpaceBears и другие участники
В ходе расследований также выявлено расширение сети через новых участников, например, группу SpaceBears. Эта группа известна использованием большого количества IP-адресов с открытыми портами для распространения вредоносных программ.
- Связи с серверами Metasploit и развертывание полезной нагрузки, ассоциируемой с семейством вредоносных программ SystemBC.
- Дополнительный домен safe-vpn.mobi выявлен как связанный с уязвимостями APT в таких продуктах, как Zoho ManageEngine и FortiOS SSL-VPN. Эти уязвимости обеспечивают авторизованные удалённые запуски вредоносных программ, используемых в шпионаже.
Carbanak group: финансовый киберпреступник в новом формате
Отдельно стоит отметить деятельность Carbanak group, знаменитой своими атаками на банковские системы и сети SWIFT. После вмешательства правоохранительных органов группа трансформировала свою методологию и теперь работает в формате RaaS.
- Использование подставных компаний для маскировки операций.
- Размещение вредоносного ПО через слабо контролируемые сервисы хостинга.
Высокоорганизованная экосистема киберпреступности
Инфраструктура, используемая ShadowSyndicate и сопряженными операторами программ-вымогателей, демонстрирует тесную взаимосвязь и скоординированность. Такая сеть позволяет быстро совершенствовать инструментарий и тактики атак, особенно в уязвимых секторах, включая финансовые услуги.
В заключение, эксперты подчеркивают, что для эффективного противодействия подобным угрозам необходимо постоянное наблюдение за инфраструктурами и своевременное выявление уязвимых мест. Без этого борьба с изощренной киберпреступностью рискует оказаться неэффективной.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
