Il team di Threat Intelligence di Group-IB ha cercato di infiltrare un programma privato di Ransomware-as-a-Service (RaaS) basato su Nokoyawa e gestito da farnetwork, un attore della minaccia noto su diversi forum sotterranei come farnetworkl, jingo, jsworm, razvrat, piparkuka e farnetworkit. Farnetwork ha iniziato a reclutare attivamente affiliati per il suo programma RaaS nel febbraio 2023.
Durante il “colloquio di lavoro”, farnetwork ha rivelato una serie di dettagli preziosi non solo su Nokoyawa, ma sulla sua intera carriera, consentendo ai ricercatori di Group-IB di tracciare l’intero sviluppo di questo prolifico master mind del ransomware, di cui in precedenza avevano studiato attentamente la presenza online su forum sotterranei e le attività condotte sotto vari pseudonimi tra il 2019 e il 2023.
farnetwork è risultato coinvolto in diversi progetti di ransomware tra loro collegati, tra cui JSWORM, Nefilim (un’operazione di ransomware condotta a livello mondiale con oltre 40 vittime), Karma e Nemty. Hanno contribuito allo sviluppo del ransomware e alla gestione di programmi RaaS di terzi prima di lanciare il proprio programma RaaS basato sul ransomware Nokoyawa (utilizzato anche da ShadowSyndicate).
Ulteriori dettagli sulla carriera criminale del threat actor e sui programmi ransomware a cui ha partecipato sono disponibili sul blog di Group-IB.
Scoperte chiave
farnetwork pubblicizzava attivamente la propria ricerca di nuovi affiliati in grado di lavorare con accessi a reti compromesse e promettendo di fornire – a scopo di test – campioni di ransomware perfettamente funzionali e supporto. I candidati che desideravano unirsi alle attività ransomware di farnetwork dovevano superare un test, per il quale farnetwork metteva a disposizione le credenziali di account aziendali compromessi.
farnetwork ha altresì condiviso dettagli sulla ripartizione dei ricavi nel suo programma RaaS. Nello specifico: un affiliato che effettua con successo un attacco ransomware riceve il 65% del riscatto, il proprietario della botnet il 20%, e lo sviluppatore del ransomware il 15%. Se in altri programmi gli affiliati di solito possono trattenere fino all’85% del riscatto, la particolarità di farnetwork è che gli stessi non dovevano procurarsi l’accesso a reti compromesse in autonomia. Al contrario potevano acquisire tale accesso da farnetwork, che apparentemente intratteneva una propria botnet con accesso a diverse reti aziendali.
A tal proposito, però, l’unità di Threat Intelligence di Group-IB ha scoperto che alcune delle credenziali fornite da farnetwork erano apparse per la prima volta nell’Underground Cloud of Logs, un servizio che fornisce accesso a informazioni riservate compromesse, carpite principalmente tramite malware per il furto di informazioni. Le credenziali fornite da farnetwork, in particolare, erano state compromesse utilizzando il famigerato info stealer RedLine, non erano quindi state ottenute da una fonte esclusiva come la botnet menzionata.
Inoltre, farnetwork ha specificato espressamente sia non aver sviluppato Nokoyawa sia che agli affiliati non era consentito attaccare organizzazioni mediche e sanitarie. Durante la chat, farnetwork ha anche condiviso che il suo programma di affiliazione RaaS disponeva di una piattaforma DLS. I ricercatori di Group-IB hanno identificato due DLS collegati al ransomware Nokoyawa. Uno, operativo nel gennaio 2023, conteneva informazioni su una sola vittima e oggi non è più accessibile. L’altro DLS Nokoyawa, apparso nel maggio 2023, ha cessato le operazioni nell’ottobre 2023. A quel punto conteneva i dati di 35 vittime.
Il 19 giugno 2023, farnetwork ha annunciato che avrebbe smesso di reclutare nuovi affiliati, dichiarando di volersi ritirare dal business. Ma è davvero la fine di farnetwork?
Conclusioni
Le indagini di Group-IB mostrano che farnetwork è un attore minaccia esperto e altamente qualificato. I loro progetti precedenti hanno mietuto un gran numero di vittime e cagionato considerevoli danni finanziari alle organizzazioni. Farnetwork è diventato uno dei player più attivi del mercato RaaS. Il threat actor è risultato infatti coinvolto in almeno cinque programmi Ransomware-as-a-Service in meno di cinque anni. I ricercatori di Group-IB hanno rinvenuto altresì prove che suggeriscono che l’attore minaccia non solo ha gestito programmi RaaS, ma ha anche sviluppato ransomware in proprio.
Nonostante l’annuncio del ritiro di farnetwork e la chiusura di Nokoyawa DLS, che è l’ultimo progetto noto dell’attore, il team di Threat Intelligence di Group-IB non crede che l’attore della minaccia si fermerà. Come è successo più volte in passato, è molto probabile che assisteremo a nuovi programmi di affiliazione ransomware e a operazioni criminali su larga scala orchestrate da farnetwork. Il team di Threat Intelligence di Group-IB continuerà a monitorare l’attività dell’attore minaccia e fornirà aggiornamenti quando saranno disponibili.
Raccomandazioni
Sebbene la preferenza dei gruppi ransomware per organizzazioni operanti in settori critici sia nota, essi sono una minaccia per le aziende di qualunque comparto. Oltre ad aggiungere nuovi membri alla sua rete, il programma di affiliazione di farnetwork fornisce ai membri gli strumenti e le tecniche più recenti e finanche il ransomware stesso. Alla luce di ciò risulta essenziale che le aziende prendano immediatamente misure specifiche tutelare le loro attività e i dati critici. Group-IB raccomanda quindi quanto segue:
- Aggiungere più livelli di sicurezza: L’autenticazione a più fattori (MFA) e le soluzioni di accesso basate sull’identificazione aiutano le aziende a proteggere i loro asset critici e gli utenti ad alto rischio, rendendo più difficile per gli attaccanti avere successo. Inoltre, il backup dei dati dovrebbe essere eseguito regolarmente poiché riduce i danni e aiuta le organizzazioni a evitare la perdita di dati a seguito di attacchi ransomware.
- Monitorare le vulnerabilità: Più a lungo una vulnerabilità rimane aperta, maggiore è il rischio che venga sfruttata da criminali informatici. Le patch di sicurezza vanno quindi trattate con priorità. Le organizzazioni dovrebbero anche stabilire un processo per rivedere e applicare regolarmente le patch man mano che diventano disponibili. Oltre a ciò, occorre non ignorare nuove vulnerabilità emergenti. Un’analisi annuale dell’infrastruttura tramite audit tecnico o una valutazione del livello di sicurezza non è solo una buona abitudine, ma apporta anche un livello di protezione aggiuntivo, molto necessario. L’integrità dell’infrastruttura e la conformità a processi di igiene digitale andrebbero monitorate continuamente.
- Fermare il ransomware con la rilevazione precoce: L’analisi comportamentale delle soluzioni di Endpoint Detection and Response (EDR) consente alle aziende di identificare i primi indicatori di ransomware sugli endpoint gestiti e di avvisare tempestivamente il team preposto alla cybersecurity su attività potenzialmente sospette per ulteriori verifiche. Questo approccio proattivo rende la rilevazione, l’analisi e la risoluzione di minacce note e non note più agile.
- Formare i dipendenti: I dipendenti vanno istruiti sui rischi legati alla rete, agli asset, ai dispositivi e all’infrastruttura dell’organizzazione. Il fattore umano rimane una delle maggiori vulnerabilità nella sicurezza informatica. Le organizzazioni dovrebbero condurre programmi di formazione ed esercitazioni di sicurezza per aiutare i dipendenti a riconoscere e riportare già al primo segnale episodi di criminalità informatica (ad esempio mail di phishing).
- Non pagare mai il riscatto: Nel 97% degli attacchi ransomware, è impossibile recuperare l’accesso ai dati senza il software di decrittazione. Gli esperti di Incident Response di Group-IB sconsigliano tuttavia di affrettarsi a pagare i riscatti. Gli attori delle minacce motivati finanziariamente cercano di riscuotere somme ancora maggiori dalle organizzazioni. Se anche un attaccante restituisce i dati, un altro verrà a conoscenza della volontà di pagare, portando a un aumento del numero di tentativi di attacco alla stessa azienda. La cosa migliore da fare è contattare gli esperti di risposta agli incidenti il più rapidamente possibile.
Le organizzazioni dovrebbero utilizzare soluzioni analitiche avanzate basate sull’AI per rilevare le intrusioni in tempo reale. Il Managed XDR di Group-IB, ad esempio, in combinazione con la Threat Intelligence, aiuta le organizzazioni a comprendere le TTP (“Tactics, Techniques, Procedures”) specifiche delle APT e di altre tipologie di minacce e ad adattare di conseguenza le proprie strategie di sicurezza. Ciò consente di dotarsi di una cybersicurezza a più livelli (endpoint, e-mail, web e rete) attraverso la rilevazione e la risposta automatizzata alle minacce.