此篇文章发布距今已超过429天,您需要注意文章的内容或图片是否可用!
Nokoyawa 勒索软件即服务 (RaaS) 的运营商是一个被称为“farnetwork”的威胁参与者,多年来通过帮助 JSWORM、Nefilim、Karma 和 Nemty 附属计划进行恶意软件开发和运营管理,积累了经验。网络安全公司 Group-IB 的一份报告深入了解了 farnetwork 的活动,以及他们如何逐渐建立自己作为勒索软件业务中高度活跃参与者的形象。在与威胁情报分析师的互动中,farnetwork 分享了宝贵的详细信息,这些详细信息将他们与 2019 年开始的勒索软件操作以及可访问多个企业网络的僵尸网络联系起来。根据 Group-IB 与 BleepingComputer 分享的一份报告,该威胁行为者拥有多个用户名(例如 farnetworkl、jingo、jsworm、razvrat、piparkuka 和 farnetworkitand),并且一直活跃在多个俄语黑客论坛上,试图为各种勒索软件招募附属机构运营。不过,今年 3 月,farnetwork 开始为其基于 Nokoyawa 储物柜的勒索软件即服务计划寻找附属机构。然而,Group-IB 的威胁情报分析师表示,该行为者明确表示他们没有参与 Nokoyawa 的开发。RaaS 业务的运营并没有持续很长时间,farnetwork 最近宣布他们将退出该领域,并于 10 月份在泄露了 35 名受害者的数据后关闭了 Nokoyawa RaaS 项目。然而, Group-IB 认为,此举是威胁行为者失去踪迹并以新品牌重新开始战略的一部分在 Nokoyawa 勒索软件中,farnetwork 担任项目负责人、附属招募人员、暗网论坛上 RaaS 的推广者以及僵尸网络管理者。该僵尸网络使附属机构能够直接访问已经受到损害的网络。为此,他们将从所收集的赎金中向僵尸网络所有者支付 20%,勒索软件所有者将获得 15%。考虑到其他程序支付高达 85% 的赎金,为勒索软件关联公司削减 65% 的费用似乎是一笔糟糕的交易,但这笔费用涵盖了寻找合适目标并突破它的努力。Farnetwork 通过向联属候选人提供来自地下日志云(UCL) 服务的多个公司帐户凭据来对他们进行测试,该服务出售RedLine、Vidar 和 Raccoon 等信息窃取者窃取的日志。这些附属机构预计将提升其在网络上的权限、窃取文件、运行加密器并要求支付赎金。
过去活动的时间表
Group-IB 能够追踪远网络早在 2019 年 1 月的活动,并发现与 JSWORM、Nemty、Nefilim 和 Karma 勒索软件菌株的联系。2019 年 4 月,farnetwork 在 Exploit 黑客论坛上推广了 JSWORM RaaS 程序,其中威胁行为者宣传了 RazvRAT 恶意软件。
2019 年 8 月,JSWORM 关闭后,威胁行为者转而在至少两个俄语地下论坛上推广Nemty 。2020 年 3 月,Nefilim 勒索软件 作为一个新的附属程序出现,带有一个名为 Corporate Leaks 的数据泄露网站。下个月,farnetwork宣布 Nemty 将私有化。
2021 年 6 月,Nefilim出现了一个可能更名为 Karma 的品牌,2021 年 7 月,Nefilim 陷入沉默。在此期间,farnetwork 正在寻找有关 Citrix VPN 中的零日漏洞的信息。2023 年 2 月,farnetwork 转向 RAMP 论坛,称他们正在以招募人员和访问管理器的身份使用 Nokoyawa 勒索软件。
根据 Group-IB 的调查结果,farnetwork 疑似参与了上述勒索软件菌株的开发或至少参与了其演变和管理。最紧密的联系是 Nefilim 和 Karma,两者都被认为是 Nemty 的进化。farnetwork 活动时间表 (Group-IB)Group-IB 设法将不同的用户名与同一威胁参与者联系起来,这表明勒索软件操作可能会来来去去,但其背后是经验丰富的个人,他们以新的名称维持业务的运转。原文来自:bleepingcomputer.com
原文链接:https://www.bleepingcomputer.com/news/security/russian-speaking-threat-actor-farnetwork-linked-to-5-ransomware-gangs/#google_vignette
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...