ShadowSyndicate：疑似勒索病毒即服务的团伙

关键要点

• ShadowSyndicate 是一个被怀疑的勒索病毒即服务（RaaS）附属组织，自2022年7月以来在85台服务器上使用单一的SSH指纹。
• 该组织已利用七个不同的勒索病毒家族发动攻击。
• 虽然无法确定ShadowSyndicate是否仅作为RaaS附属或初始访问经纪人，但研究认为其更倾向于作为RaaS附属。
• 研究表明，ShadowSyndicate与多种勒索病毒团伙有较高的关联性，包括Quantum、Nokoyawa和ALPHV（BlackCat）。

根据Group-IB的研究，ShadowSyndicate所使用的单一SSH指纹，建立了一张复杂的恶意服务器网络。这种情况极为罕见。

Group-
IB表示，尽管无法确定ShadowSyndicate是否作为RaaS附属或初始访问经纪人，但研究显示，其很可能是在以RaaS附属的身份活跃。这一理论的依据是发现多个勒索病毒团伙的水印在同一服务器上可被检测到，虽然这使归属变得复杂，但研究证明了ShadowSyndicate作为RaaS附属的可能性。

Group-IB的研究人员能够在高可信度下，将ShadowSyndicate与以下勒索病毒活动联系起来： – Quantum ：2022年9月
– Nokoyawa ：2022年10月和2023年3月 – ALPHV（BlackCat） ：2023年2月

另外，研究人员能在低可信度下将以下勒索病毒团伙归属到ShadowSyndicate：Royal、、Cactus和Play。ShadowSyndicate还使用了已知的现成工具包，如CobaltStrike、IcedID和Sliver恶意软件，至少有52台服务器使用Cobalt Strike的C2框架。

此次关于ShadowSyndicate的研究是通过与Group-IB在欧洲的长期MSSP合作伙伴、Bridewell的JoshuaPenny，和威胁研究员组成的网络犯罪战斗俱乐部进行的。

威胁研究经理Mayuresh Dani表示，当团伙开始使用CobaltStrike、IcedID和Sliver等技术，以及可被“指纹识别”的SSH服务器时，归属的情况可能会有所不同。他表示：“独特的指纹导致精确的归属，而共享的指纹则可能导致错误的归属。但是，他们使用的现成工具及多种勒索病毒家族、C2框架和IP基础设施，都指向ShadowSyndicate作为RaaS附属的可能性。”

Viakoo Labs的副总裁JohnGallagher补充道，考虑到ShadowSyndicate在恶意软件和能力方面的投资，该组织很可能专注于高价值目标，并为每个目标使用独特的策略。他表示：“一般来说，RaaS提供商和能力的扩展表明，这里存在盈利，威胁行为者将继续投资于更强大的能力。”

Token的首席执行官JohnGunn表示，这个研究社区可能过于依赖其法医技术，同时忽视了这些团伙本质上是隐秘和不诚实的事实。他指出：“他们经常设置误导性线索和虚假证据，以欺骗研究人员并误导执法机构。”