Компания Darktrace в период с сентября по октябрь 2024 года провела исследование нескольких клиентских сетей, которые были атакованы группой RansomHub. Далее проведенный анализ показал связь между RansomHub и группой ShadowSyndicate.
RansomHub Ransomware
ShadowSyndicate, также известный как Infra Storm, сотрудничает с различными группами программ для борьбы с вымогательством и использует такие инструменты, как Cobalt Strike и вредоносное ПО Matanbuchus. RansomHub, считающийся оператором Ransomware-as-a-Service (RaaS), был замечен после того, как ФБР уничтожило группу LockBit. RansomHub привлекал внимание потенциальных партнеров, предлагая выгодные условия, и поглотил бывших членов ALPHV и LockBit. ShadowSyndicate использовал при своих атаках вымогательское ПО RansomHub.
Периодический анализ Darktrace позволил выявить связь между ShadowSyndicate и RansomHub. ShadowSyndicate начала использовать RansomHub из-за его выгодных ставок - до 90% выкупа для филиалов, что выше рыночной ставки. В ходе атак на пораженные устройства записывались выкупные записки с угрозой публикации украденных данных, если не будет заплачен выкуп. Было обнаружено, что внешние конечные точки, на которые передавались данные, совпадали с серверами, связанными с деятельностью ShadowSyndicate.
Darktrace исследовала четыре отдельных инцидента атак ShadowSyndicate, использующих RansomHub. Атаки начинались с внутренней разведки, где агенты сканировали и перечисляли сетевые данные по ключевым портам. Затем проводились необычные подключения к конечным точкам, связанным с Splashtop, и наблюдались исходящие SSH-соединения с внешним IP-адресом, связанным с инфраструктурой ShadowSyndicate. Были обнаружены попытки эксфильтрации данных через SSH-протокол.
Таким образом, анализ Darktrace подтвердил связь между группой ShadowSyndicate и оператором RansomHub, а также выявил тактики, используемые при атаках. Эти атаки включали в себя внутреннюю разведку, шифрование файлов и эксфильтрацию данных.
Indicators of Compromise
IPv4
- 103.253.40.87
- 104.226.39.18
- 108.181.182.143
- 185.206.24.31
- 185.65.212.164
- 31.216.148.33
- 46.161.27.151
- 66.203.125.21
- 83.97.73.198
- 89.44.168.207
Domains
- *.relay.splashtop.com
- ams-rb9a-ss.ams.efscloud.net
- gfs***n***.userstorage.mega.co.nz
- w.api.mega.co.nz