Nokoyawa, Ekim 2023 itibarıyla faaliyetlerini durdurdu; ancak Group-IB, farnetwork’ün farklı bir isim altında ve yeni bir RaaS programıyla yeniden ortaya çıkma ihtimalinin yüksek olduğunu söyledi
RaaS modeli, bağlı kuruluşların fidye tutarının %65’ini, botnet sahibinin ise %20’sini almasına olanak tanır Nokoyawa fidye yazılımına dayanan RaaS programı”, Group-IB tehdit istihbaratı analisti Nikolay Kichatov, söz konusu
Kimlik bilgileri, yeraltı pazarlarında satılan bilgi hırsızı günlüklerinden elde ediliyor; burada diğer tehdit aktörleri, RedLine gibi kullanıma hazır hırsız kötü amaçlı yazılımları dağıtarak hedef uç noktalara ilk erişimi elde ediyor ve bunlar da kimlik avı ve kötü amaçlı reklam kampanyaları aracılığıyla itiliyor
“Tehdit aktörünün 2019’da başlayan siber suç kariyeri boyunca farnetwork, aralarında JSWORM, Nefilim, Karma ve Nemty’nin de bulunduğu birçok bağlantılı fidye yazılımı projesinde yer aldı ve bu projelerin bir parçası olarak kendi fidye yazılımlarının geliştirilmesine ve kendi RaaS programlarını başlatmadan önce RaaS programlarının yönetilmesine yardımcı oldu
“Bu, bir bağlı kuruluşun aldığı ödeme yüzdesini azaltırken, fidye yazılımı operatörlerinin verimliliğini ve hızını da artırıyor
2022’de odak noktasını değiştirmenin yanı sıra NokoyavaRusça konuşan şahsın, bağlı kuruluşların güvenliği ihlal edilmiş kurumsal ağlara erişim sağlamak için kendi botnet hizmetini başlattığı söyleniyor
En son açıklama, siber güvenlik şirketinin Qilin RaaS çetesine sızmasından yaklaşık altı ay sonra geldi ve bağlı kuruluşların ödeme yapısı ve RaaS programının iç işleyişine ilişkin ayrıntıları ortaya çıkardı
Yılın başından bu yana farnetwork, Nokoyawa RaaS programı için işe alım çabalarıyla ilişkilendirildi; potansiyel adaylardan, çalıntı kurumsal hesap kimlik bilgilerini kullanarak ayrıcalık yükseltmeyi kolaylaştırmalarını ve kurbanın dosyalarını şifrelemek için fidye yazılımını dağıtmalarını ve ardından bunun karşılığında ödeme talep etmelerini istiyor Farnetwork’ün botnet’i, kurumsal ağlara erişim kazanmak için kullanılıyor ve etkin bir şekilde ilk erişim aracılarının rolünün yerini alıyor
Kichatov, “Farnetwork deneyimli ve son derece yetenekli bir tehdit aktörüdür” diyerek tehdit aktörünü “RaaS pazarının en aktif oyuncularından” biri olarak tanımladı
Farnetwork tarafından sağlanan bazı kimlik bilgilerinin ilk olarak Yeraltı Kütük Bulutlarıbilgi çalanlar aracılığıyla elde edilen tehlikeye atılmış gizli bilgilere erişim sağlayan bir hizmet ” Haberler
Group-IB’nin Tehdit İstihbaratı ekibi The Hacker’a şunları söyledi: “İştirakçinin bakış açısına göre bu, kurumsal ağlara ilk erişimi kendilerinin almaları gerekmediğinden, RaaS yöneticisi tarafından halihazırda sağlanan erişimden yararlanabilecekleri için yeni bir yaklaşım getiriyor Öte yandan fidye yazılımı geliştiricisi toplam payın %15’ini alıyor ve bu rakamın %10’a kadar düşebileceği belirtiliyor
Singapur merkezli Group-IB, özel bir RaaS programına sızma girişiminde bulundu
08 Kasım 2023Haber odasıSiber Tehdit / Uç Nokta Güvenliği
Siber güvenlik araştırmacıları, son dört yılda çeşitli kapasitelerde beş farklı hizmet olarak fidye yazılımı (RaaS) programıyla bağlantılı olan farnetwork olarak bilinen üretken bir tehdit aktörünün maskesini düşürdü
siber-2
Farnetwork’ün, RAMP gibi farklı yeraltı forumlarında farnetworkit, farnetworkl, jingo, jsworm, piparkuka ve razvrat gibi çeşitli takma adlar altında çalıştığı ve başlangıçta satıcı olarak RazvRAT olarak adlandırılan bir uzaktan erişim truva atının reklamını yaptığı biliniyor Nokoyava fidye yazılımı Straw, tehdit aktörüyle bir “iş görüşmesi” sürecinden geçtiğini ve bu aktörün geçmişine ve RaaS programlarındaki rolüne ilişkin değerli bilgiler öğrendiğini söyledi