Ο χειριστής του Nokoyawa ransomware-as-a-
service
(RaaS), ένας παράγοντας απειλών γνωστό ως «farnetwork», δημιούργησε εμπειρία με τα χρόνια βοηθώντας τα συνεργαζόμενα προγράμματα JSWORM, Nefilim, Karma και Nemty με την ανάπτυξη και διαχείριση λειτουργίας κακόβουλου λογισμικού.
Μια αναφορά από την εταιρεία κυβερνοασφάλειας Group-IB παρέχει πληροφορίες για τη δραστηριότητα του farnetwork και τον τρόπο με τον οποίο σταδιακά δημιούργησαν το προφίλ τους ως εξαιρετικά ενεργός παίκτης στην επιχείρηση ransomware.
Σε αλληλεπιδράσεις με αναλυτές πληροφοριών απειλών, η farnetwork μοιράστηκε πολύτιμες λεπτομέρειες που τις συνδέουν με λειτουργίες ransomware που ξεκινούν το 2019 και ένα
botnet
με πρόσβαση σε πολλαπλά εταιρικά δίκτυα.
Σύμφωνα με μια αναφορά του Group-IB που κοινοποιήθηκε στο BleepingComputer, ο παράγοντας απειλής έχει πολλά ονόματα χρήστη (π.χ. farnetworkl, jingo, jsworm, razvrat, piparkuka και farnetworkitand) και έχει δραστηριοποιηθεί σε πολλά ρωσόφωνα φόρουμ χάκερ προσπαθώντας να στρατολογήσει συνεργάτες για διάφορα ransomware επιχειρήσεις.
Απειλή προφίλ ηθοποιού
(Group-IB)
Τον Μάρτιο, ωστόσο, η farnetwork άρχισε να αναζητά συνεργάτες για το πρόγραμμα ransomware-as-a-service που βασίζεται στο ντουλάπι Nokoyawa. Ωστόσο, οι αναλυτές πληροφοριών απειλών του Group-IB λένε ότι ο ηθοποιός κατέστησε σαφές ότι δεν συμμετείχαν στην ανάπτυξη του Nokoyawa.
Η λειτουργία της επιχείρησης RaaS δεν κράτησε πολύ καθώς η farnetwork ανακοίνωσε πρόσφατα ότι θα αποσυρθεί από τη σκηνή και τον Οκτώβριο έκλεισε το πρόγραμμα Nokoyawa RaaS, αφού διέρρευσαν δεδομένα 35 θυμάτων.
Ο Nokoyawa δημοσίευσε θύματα
(Group-IB)
Ωστόσο,
Το Group-IB πιστεύει
ότι αυτή η κίνηση είναι μέρος της στρατηγικής των απειλών να χάσουν τα ίχνη τους και να ξεκινήσουν εκ νέου με μια νέα επωνυμία
Υπεύθυνος λειτουργιών
Στο Nokoyawa ransomware, η farnetwork ενήργησε ως επικεφαλής έργου, συνεργάτης προσλήψεων, προωθητής του RaaS σε φόρουμ darknet και
διαχειριστής
botnet.
Το botnet που ενεργοποιεί τις συνδεδεμένες εταιρείες άμεση πρόσβαση σε ήδη παραβιασμένα δίκτυα. Για αυτό το προνόμιο, θα πλήρωναν στον κάτοχο του botnet το 20% από τα λύτρα που συγκεντρώθηκαν και ο κάτοχος του ransomware θα έπαιρνε το 15%.
Μια περικοπή 65% για τη θυγατρική του ransomware μπορεί να φαίνεται σαν κακή συμφωνία, δεδομένου ότι άλλα προγράμματα πληρώνουν έως και το 85% των λύτρων, αλλά το κόστος κάλυψε την προσπάθεια εύρεσης κατάλληλου στόχου και παράβασης του.
Η Farnetwork εξέτασε τους υποψήφιους συνεργάτες παρέχοντάς τους πολλά διαπιστευτήρια εταιρικού λογαριασμού που προέρχονται από το
Υπόγειο σύννεφο κορμών
υπηρεσία (UCL), η οποία πουλά κούτσουρα που έχουν κλαπεί από κλέφτες πληροφοριών όπως οι RedLine, Vidar και Raccoon.
Οι θυγατρικές αναμενόταν να κλιμακώσουν τα προνόμιά τους στο δίκτυο, να κλέψουν αρχεία, να εκτελέσουν τον κρυπτογράφηση και να απαιτήσουν πληρωμή λύτρων.
Πίνακας διαπιστευτηρίων πρόσβασης δικτύου
(Group-IB)
Χρονοδιάγραμμα προηγούμενων δραστηριοτήτων
Το Group-IB ήταν σε θέση να παρακολουθεί τις δραστηριότητες του farnetwork ήδη από τον Ιανουάριο του 2019 και βρήκε συνδέσεις με τα στελέχη ransomware JSWORM, Nemty, Nefilim και Karma.
Τον Απρίλιο του 2019, η farnetwork προώθησε το πρόγραμμα JSWORM RaaS στο φόρουμ χάκερ Exploit, όπου ο ηθοποιός της απειλής διαφήμισε το κακόβουλο λογισμικό RazvRAT.
Πώληση κακόβουλου λογισμικού RazvRAT
(Group-IB)
Τον Αύγουστο του 2019, μετά το κλείσιμο του JSWORM, ο ηθοποιός των απειλών μεταπήδησε στην προώθηση του Nemty σε τουλάχιστον δύο ρωσόφωνα υπόγεια φόρουμ.
Τον Μάρτιο του 2020, το Nefilim ransomware εμφανίστηκε ως νέο πρόγραμμα συνεργατών με έναν ιστότοπο διαρ
ροής
δεδομένων που ονομάζεται Corporate Leaks. Τον επόμενο μήνα, η farnetwork ανακοίνωσε ότι ο Nemty θα γίνει ιδιωτικός.
Η Νεφιλίμ ανακοίνωσε θύματα
(Group-IB)
Τον Ιούνιο του 2021, εμφανίστηκε ένα πιθανό rebrand της Nefilim που ονομάζεται Karma και τον Ιούλιο του 2021, η Nefilim σώπασε. Κατά τη διάρκεια αυτής της περιόδου, το farnetwork αναζητούσε πληροφορίες σχετικά με μια ευπάθεια zero-day στο Citrix VPN.
Τον Φεβρουάριο του
2023
, η farnetwork στράφηκε στο φόρουμ RAMP λέγοντας ότι συνεργάζονταν με το ransomware Nokoyawa ως υπεύθυνος προσλήψεων και διαχείρισης πρόσβασης.
Προώθηση του RaaS στο RAMP
(Group-IB)
Με βάση τα ευρήματα του Group-IB, η farnetwork υποπτεύεται ότι συμμετείχε στην ανάπτυξη ή τουλάχιστον στην εξέλιξη και διαχείριση των αναφερόμενων στελεχών ransomware. Οι ισχυρότεροι δεσμοί είναι με το Nefilim και το Karma, που θεωρούνται και οι δύο εξελίξεις του Nemty.
Χρονοδιάγραμμα των δραστηριοτήτων του farnetwork
(Group-IB)
Το Group-IB κατάφερε να συνδέσει τα διαφορετικά ονόματα χρήστη με τον ίδιο παράγοντα απειλής, δείχνοντας ότι οι λειτουργίες ransomware μπορούν να έρχονται και να παρέρχονται, αλλά πίσω από αυτές βρίσκονται έμπειρα άτομα που κρατούν την επιχείρηση με νέα ονόματα.
VIA:
bleepingcomputer.com