Siber güvenlik araştırmacıları, son dört yılda çeşitli kapasitelerde beş farklı hizmet olarak fidye yazılımı (RaaS) programıyla bağlantılı olan farnetwork olarak bilinen üretken bir tehdit aktörünün maskesini düşürdü.
Singapur merkezli Group-IB, özel bir RaaS programına sızma girişiminde bulundu. Nokoyava fidye yazılımı Straw, tehdit aktörüyle bir “iş görüşmesi” sürecinden geçtiğini ve bu aktörün geçmişine ve RaaS programlarındaki rolüne ilişkin değerli bilgiler öğrendiğini söyledi.
“Tehdit aktörünün 2019’da başlayan siber suç kariyeri boyunca farnetwork, aralarında JSWORM, Nefilim, Karma ve Nemty’nin de bulunduğu birçok bağlantılı fidye yazılımı projesinde yer aldı ve bu projelerin bir parçası olarak kendi fidye yazılımlarının geliştirilmesine ve kendi RaaS programlarını başlatmadan önce RaaS programlarının yönetilmesine yardımcı oldu. Nokoyawa fidye yazılımına dayanan RaaS programı”, Group-IB tehdit istihbaratı analisti Nikolay Kichatov, söz konusu.
En son açıklama, siber güvenlik şirketinin Qilin RaaS çetesine sızmasından yaklaşık altı ay sonra geldi ve bağlı kuruluşların ödeme yapısı ve RaaS programının iç işleyişine ilişkin ayrıntıları ortaya çıkardı.
Farnetwork’ün, RAMP gibi farklı yeraltı forumlarında farnetworkit, farnetworkl, jingo, jsworm, piparkuka ve razvrat gibi çeşitli takma adlar altında çalıştığı ve başlangıçta satıcı olarak RazvRAT olarak adlandırılan bir uzaktan erişim truva atının reklamını yaptığı biliniyor.
2022’de odak noktasını değiştirmenin yanı sıra NokoyavaRusça konuşan şahsın, bağlı kuruluşların güvenliği ihlal edilmiş kurumsal ağlara erişim sağlamak için kendi botnet hizmetini başlattığı söyleniyor.
Yılın başından bu yana farnetwork, Nokoyawa RaaS programı için işe alım çabalarıyla ilişkilendirildi; potansiyel adaylardan, çalıntı kurumsal hesap kimlik bilgilerini kullanarak ayrıcalık yükseltmeyi kolaylaştırmalarını ve kurbanın dosyalarını şifrelemek için fidye yazılımını dağıtmalarını ve ardından bunun karşılığında ödeme talep etmelerini istiyor. şifre çözme anahtarı.
Kimlik bilgileri, yeraltı pazarlarında satılan bilgi hırsızı günlüklerinden elde ediliyor; burada diğer tehdit aktörleri, RedLine gibi kullanıma hazır hırsız kötü amaçlı yazılımları dağıtarak hedef uç noktalara ilk erişimi elde ediyor ve bunlar da kimlik avı ve kötü amaçlı reklam kampanyaları aracılığıyla itiliyor.
Farnetwork tarafından sağlanan bazı kimlik bilgilerinin ilk olarak Yeraltı Kütük Bulutlarıbilgi çalanlar aracılığıyla elde edilen tehlikeye atılmış gizli bilgilere erişim sağlayan bir hizmet.
RaaS modeli, bağlı kuruluşların fidye tutarının %65’ini, botnet sahibinin ise %20’sini almasına olanak tanır. Öte yandan fidye yazılımı geliştiricisi toplam payın %15’ini alıyor ve bu rakamın %10’a kadar düşebileceği belirtiliyor.
Group-IB’nin Tehdit İstihbaratı ekibi The Hacker’a şunları söyledi: “İştirakçinin bakış açısına göre bu, kurumsal ağlara ilk erişimi kendilerinin almaları gerekmediğinden, RaaS yöneticisi tarafından halihazırda sağlanan erişimden yararlanabilecekleri için yeni bir yaklaşım getiriyor.” Haberler.
“Bu, bir bağlı kuruluşun aldığı ödeme yüzdesini azaltırken, fidye yazılımı operatörlerinin verimliliğini ve hızını da artırıyor. Farnetwork’ün botnet’i, kurumsal ağlara erişim kazanmak için kullanılıyor ve etkin bir şekilde ilk erişim aracılarının rolünün yerini alıyor.”
Nokoyawa, Ekim 2023 itibarıyla faaliyetlerini durdurdu; ancak Group-IB, farnetwork’ün farklı bir isim altında ve yeni bir RaaS programıyla yeniden ortaya çıkma ihtimalinin yüksek olduğunu söyledi.
Kichatov, “Farnetwork deneyimli ve son derece yetenekli bir tehdit aktörüdür” diyerek tehdit aktörünü “RaaS pazarının en aktif oyuncularından” biri olarak tanımladı.
