Siber güvenlik araştırmacıları, son dört yılda çeşitli kapasitelerde beş farklı hizmet olarak fidye yazılımı (RaaS) programıyla bağlantılı olan farnetwork olarak bilinen üretken bir tehdit aktörünün maskesini düşürdü.
Nokoyawa fidye yazılımı türünü kullanan özel bir RaaS programına sızmaya çalışan Singapur merkezli Group-IB, tehdit aktörüyle bir “iş görüşmesi” sürecinden geçtiğini ve onların geçmişi ve rolleri hakkında birçok değerli bilgi edindiğini söyledi.
“Tehdit aktörünün 2019’da başlayan siber suç kariyeri boyunca farnetwork, aralarında JSWORM, Nefilim, Karma ve Nemty’nin de bulunduğu birçok bağlantılı fidye yazılımı projesinde yer aldı ve bu projelerin bir parçası olarak kendi fidye yazılımlarının geliştirilmesine ve kendi RaaS programlarını başlatmadan önce RaaS programlarının yönetilmesine yardımcı oldu. Group-IB tehdit istihbaratı analisti Nikolay Kichatov, RaaS programının Nokoyawa fidye yazılımına dayandığını söyledi.
En son açıklama, siber güvenlik şirketinin Qilin RaaS çetesine sızmasından yaklaşık altı ay sonra geldi ve bağlı kuruluşların ödeme yapısı ve RaaS programının iç işleyişine ilişkin ayrıntıları ortaya çıkardı.
Farnetwork’ün, RAMP gibi farklı yeraltı forumlarında farnetworkit, farnetworkl, jingo, jsworm, piparkuka ve razvrat gibi çeşitli takma adlar altında çalıştığı ve başlangıçta satıcı olarak RazvRAT olarak adlandırılan bir uzaktan erişim truva atının reklamını yaptığı biliniyor.
2022 yılında, odak noktasını Nokoyawa’ya kaydırmanın yanı sıra, Rusça konuşan şahsın, bağlı kuruluşların güvenliği ihlal edilmiş kurumsal ağlara erişim sağlamak için kendi botnet hizmetini başlattığı söyleniyor.
Yılın başından bu yana farnetwork, Nokoyawa RaaS programı için işe alım çabalarıyla ilişkilendirildi; potansiyel adaylardan, çalıntı kurumsal hesap kimlik bilgilerini kullanarak ayrıcalık yükseltmeyi kolaylaştırmalarını ve kurbanın dosyalarını şifrelemek için fidye yazılımını dağıtmalarını ve ardından bunun karşılığında ödeme talep etmelerini istiyor. şifre çözme anahtarı.
Kimlik bilgileri, yeraltı pazarlarında satılan bilgi hırsızı günlüklerinden elde ediliyor; burada diğer tehdit aktörleri, RedLine gibi kullanıma hazır hırsız kötü amaçlı yazılımları dağıtarak hedef uç noktalara ilk erişimi elde ediyor ve bunlar da kimlik avı ve kötü amaçlı reklam kampanyaları aracılığıyla itiliyor.
RaaS modeli, bağlı kuruluşların fidye tutarının %65’ini, botnet sahibinin ise %20’sini almasına olanak tanır. Öte yandan fidye yazılımı geliştiricisi toplam payın %15’ini alıyor ve bu rakamın %10’a kadar düşebileceği belirtiliyor.
Nokoyawa, Ekim 2023 itibarıyla faaliyetlerini durdurdu; ancak Group-IB, farnetwork’ün farklı bir isim altında ve yeni bir RaaS programıyla yeniden ortaya çıkma ihtimalinin yüksek olduğunu söyledi.
Kichatov, “Farnetwork deneyimli ve son derece yetenekli bir tehdit aktörüdür” diyerek tehdit aktörünü “RaaS pazarının en aktif oyuncularından” biri olarak tanımladı.