Ο χειριστής του Nokoyawa ransomware-as-a-service (RaaS), μια hacking ομάδα γνωστή με το όνομα “farnetwork“, φαίνεται πως υποστήριζε ransomware επιχειρήσεις, όπως τις JSWORM, Nefilim, Karma και Nemty με την ανάπτυξη και διαχείριση λειτουργίας του κακόβουλου λογισμικού.
Μια αναφορά από την εταιρεία κυβερνοασφάλειας Group-IB παρέχει πληροφορίες για τη δραστηριότητα της ομάδας farnetwork και τον τρόπο με τον οποίο σταδιακά δημιούργησε το προφίλ της ως εξαιρετικά ενεργός παίκτης στην επιχείρηση ransomware.
Σε αλληλεπιδράσεις με αναλυτές απειλών, η farnetwork μοιράστηκε πολύτιμες λεπτομέρειες που τη συνδέουν με λειτουργίες ransomware από το 2019 και με ένα botnet που έχει πρόσβαση σε πολλά εταιρικά δίκτυα.
Σύμφωνα με την αναφορά της Group-IB, ο παράγοντας απειλής έχει πολλά ονόματα χρήστη (π.χ. farnetworkl, jingo, jsworm, razvrat, piparkuka και farnetworkitand) και έχει δραστηριοποιηθεί σε πολλά ρωσόφωνα hacking forums, προσπαθώντας να στρατολογήσει συνεργάτες για διάφορες ransomware επιχειρήσεις.
Δείτε επίσης: TransForm: Ransomware επίθεση σε νοσοκομεία επηρεάζει δεδομένα χιλιάδων ασθενών
Τον Μάρτιο, ωστόσο, η farnetwork άρχισε να αναζητά affiliates για το πρόγραμμα ransomware-as-a-service, που βασίζεται στο Nokoyawa locker. Ωστόσο, οι ερευνητές λένε ότι η ομάδα δεν συμμετείχε στην ανάπτυξη του Nokoyawa.
Η λειτουργία της επιχείρησης RaaS δεν κράτησε πολύ καθώς η farnetwork ανακοίνωσε ότι αποσύρεται και τον Οκτώβριο έκλεισε την υπηρεσία Nokoyawa RaaS, αφού διέρρευσε δεδομένα 35 θυμάτων. Ωστόσο, η Group-IB πιστεύει ότι αυτή η κίνηση είναι μέρος μιας στρατηγικής. Οι hackers πιθανότατα θέλουν να εξαφανίζουν τα ίχνη τους και να ξεκινήσουν ξανά τις κακόβουλες δραστηριότητές τους με μια νέα επωνυμία.
Στην επιχείρηση Nokoyawa ransomware, η farnetwork ενήργησε ως project leader, affiliate recruiter, promoter της υπηρεσίας σε hacking forums. Ήταν, επίσης, διαχειριστής του botnet.
Το botnet επέτρεπε στους affiliates να έχουν άμεση πρόσβαση σε ήδη παραβιασμένα δίκτυα. Για να το χρησιμοποιούν, πλήρωναν στον κάτοχο του botnet το 20% από τα λύτρα που συγκέντρωναν. Ο κάτοχος του ransomware θα έπαιρνε το 15%.
Δείτε επίσης: Ransomware, social engineering & AI: Οι μεγαλύτερες απειλές για το 2024
Η Farnetwork εξέταζε τους υποψήφιους συνεργάτες παρέχοντάς τους πολλά credentials εταιρικών λογαριασμών, κλεμμένα από infostealer malware, όπως τα RedLine, Vidar και Raccoon. Οι affiliates θα έπρεπε να φροντίσουν να αυξήσουν τα προνόμιά τους στο δίκτυο, να κλέψουν αρχεία, να εκτελέσουν τον encryptor και να απαιτήσουν πληρωμή λύτρων.
Προηγούμενες δραστηριότητες
Η Group-IB παρακολουθούσε τις δραστηριότητες της ομάδας farnetwork ήδη από τον Ιανουάριο του 2019 και βρήκε συνδέσεις με τα στελέχη ransomware JSWORM, Nemty, Nefilim και Karma.
- Τον Απρίλιο του 2019, η farnetwork προώθησε το πρόγραμμα JSWORM RaaS στο Exploit hacker forum, όπου διαφήμισε το κακόβουλο λογισμικό RazvRAT.
- Τον Αύγουστο του ίδιου έτους, μετά το κλείσιμο του JSWORM, η ομάδα άρχισε να προωθεί το Nemty ransomware σε τουλάχιστον δύο ρωσόφωνα hacking forums.
- Τον Μάρτιο του 2020, το Nefilim ransomware εμφανίστηκε ως νέο πρόγραμμα affiliate με έναν ιστότοπο διαρροής δεδομένων που ονομάζεται Corporate Leaks. Τον επόμενο μήνα, η farnetwork ανακοίνωσε ότι το Nemty θα γινόταν ιδιωτικό.
- Τον Ιούνιο του επόμενου έτους, εμφανίστηκε ένα πιθανό rebrand του Nefilim, το Karma ransomware. Κατά τη διάρκεια αυτής της περιόδου, η farnetwork αναζητούσε πληροφορίες σχετικά με μια ευπάθεια zero-day στο Citrix VPN.
- Τον Φεβρουάριο του 2023, η farnetwork στράφηκε στο φόρουμ RAMP λέγοντας ότι εργάζονταν στο ransomware Nokoyawa, ως recruiter και access manager.
Δείτε επίσης: TellYouThePass ransomware: Προστίθεται στις επιθέσεις RCE του Apache ActiveMQ
Η Group-IB πιστεύει ότι η ομάδα farnetwork μάλλον συμμετείχε στην ανάπτυξη ή τουλάχιστον στην εξέλιξη και διαχείριση των αναφερόμενων ransomware. Οι ισχυρότεροι δεσμοί είναι με το Nefilim και το Karma, που θεωρούνται και τα δύο εξελίξεις του Nemty.
Η Group-IB κατάφερε να συνδέσει τα διαφορετικά ονόματα χρήστη με την ίδια ομάδα, δείχνοντας ότι οι λειτουργίες ransomware μπορούν να αλλάζουν, αλλά πίσω από αυτές βρίσκονται έμπειρα άτομα που κρατούν την επιχείρηση με νέα ονόματα.
Το ransomware είναι μια από τις πιο σοβαρές και συχνές απειλές στον κυβερνοχώρο. Οι χρήστες και οι οργανισμοί πρέπει να λαμβάνουν μέτρα ασφαλείας για να παραμείνουν προστατευμένοι.
Βασικά βήματα για την πρόληψη του Ransomware
- Εγκαταστήστε αξιόπιστο λογισμικό ασφαλείας: Ένα προηγμένο λογισμικό ασφαλείας μπορεί να προστατέψει τον υπολογιστή σας από την κακόβουλη δραστηριότητα, συμπεριλαμβανομένου του ransomware. Εξασφαλίστε ότι το λογισμικό ενημερώνεται τακτικά για να παραμείνει αποτελεσματικό.
- Κάντε περιοδικό back up των δεδομένων σας: Η δημιουργία αντιγράφων ασφαλείας των σημαντικών δεδομένων σας μπορεί να είναι ζωτικής σημασίας για την αποκατάσταση της πληροφορίας σε περίπτωση επίθεσης ransomware.
- Ενημερωθείτε για τις τεχνικές phishing: Οι επιθέσεις ransomware συχνά ξεκινούν με phishing emails και μηνύματα. Είναι σημαντικό να αναγνωρίζετε και να αποφεύγετε τις επικίνδυνες αυτές απάτες.
- Εκπαιδεύστε το προσωπικό σχετικά με τις απειλές στον κυβερνοχώρο: Ενημερώστε το προσωπικό για τις νέες απειλές που εμφανίζονται και κάντε δοκιμαστικές επιθέσεις για να δείτε πώς ανταποκρίνονται.
- Ενημερώστε τακτικά όλα τα συστήματά σας: Διατηρήστε ενημερωμένα όλα τα λογισμικά και τις συσκευές σας, ώστε να διορθώνονται άμεσα πιθανές ευπάθειες
Πηγή: www.bleepingcomputer.com
, μια hacking ομάδα γνωστή με το όνομα "farnetwork", φαίνεται πως υποστήριζε ransomware){kind=link}