링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

러시아어를 구사하는 위협 행위자 “farnetwork”가 5개 랜섬웨어 갱단과 연결되어 있습니다.

‘farnetwork’로 알려진 위협 행위자인 Nokoyawa RaaS(Ransomware-as-a-Service)의 운영자는 JSWORM, Nefilim, Karma 및 Nemty 제휴 프로그램의 악성 코드 개발 및 운영 관리를 지원함으로써 수년 동안 경험을 쌓았습니다.

사이버 보안 회사인 Group-IB의 보고서는 Farnetwork의 활동과 그들이 랜섬웨어 사업에서 매우 활동적인 플레이어로서 점차 프로필을 구축한 방법에 대한 통찰력을 제공합니다.

Farnetwork는 위협 인텔리전스 분석가와의 상호 작용을 통해 2019년부터 시작되는 랜섬웨어 작전과 여러 기업 네트워크에 액세스할 수 있는 봇넷을 연결하는 귀중한 세부 정보를 공유했습니다.

BleepingComputer와 공유한 Group-IB 보고서에 따르면, 위협 행위자는 여러 사용자 이름(예:farnetworkl, jingo, jsworm, razvrat, piparkuka 및farnetworkitand)을 가지고 있으며 다양한 랜섬웨어 관련 제휴자를 모집하기 위해 러시아어를 사용하는 여러 해커 포럼에서 활동하고 있습니다. 운영.

위협 행위자 프로필
위협 행위자 프로필 (그룹-IB)

하지만 3월부터 Farnetwork는 Nokoyawa 로커를 기반으로 한 서비스형 랜섬웨어 프로그램의 계열사를 찾기 시작했습니다. 그러나 Group-IB의 위협 인텔리전스 분석가들은 공격자가 Nokoyawa 개발에 관여하지 않았음을 분명히 했다고 말합니다.

Farnetwork가 최근 현장에서 은퇴하겠다고 발표하고 10월에 35명의 피해자 데이터를 유출한 후 Nokoyawa RaaS 프로그램을 종료하면서 RaaS 사업 운영은 오래 가지 못했습니다.

노코야와 출판 피해자
노코야와 출판 피해자 (그룹-IB)

그러나 Group-IB는 이러한 움직임이 자신의 길을 잃고 새로운 브랜드로 새롭게 시작하려는 위협 행위자의 전략의 일부라고 믿습니다.

작업 관리자

Nokoyawa 랜섬웨어에서 Farnetwork는 프로젝트 리더, 제휴 모집자, 다크넷 포럼의 RaaS 프로모터 및 봇넷 관리자 역할을 했습니다.

봇넷을 통해 계열사는 이미 손상된 네트워크에 직접 액세스할 수 있었습니다. 이 혜택을 위해 그들은 수집된 몸값의 20%를 봇넷 소유자에게 지불하고 랜섬웨어 소유자는 15%를 받게 됩니다.

랜섬웨어 계열사에 대한 65% 삭감은 다른 프로그램이 몸값의 최대 85%를 지불한다는 점을 고려하면 나쁜 거래처럼 보일 수 있지만 비용은 적절한 대상을 찾고 이를 위반하는 노력을 충당했습니다.

Farnetwork는 RedLine, Vidar, Raccoon과 같은 정보 도둑이 훔친 로그를 판매하는 Underground Cloud of Logs(UCL) 서비스에서 가져온 여러 기업 계정 자격 증명을 제공하여 제휴 후보자를 테스트했습니다.

계열사는 네트워크에 대한 권한을 높이고, 파일을 훔치고, 암호화기를 실행하고, 몸값을 요구할 것으로 예상되었습니다.

네트워크 액세스 자격 증명 패널
네트워크 액세스 자격 증명 패널 (그룹-IB)

지난 활동 타임라인

Group-IB는 2019년 1월까지 Farnetwork의 활동을 추적할 수 있었고 JSWORM, Nemty, Nefilim 및 Karma 랜섬웨어 변종과의 연관성을 발견했습니다.

2019년 4월, Farnetwork는 위협 행위자가 RazvRAT 악성 코드를 광고한 Exploit 해커 포럼에서 JSWORM RaaS 프로그램을 홍보했습니다.

악성코드 판매 개발
악성코드 판매 개발 (그룹-IB)

2019년 8월, JSWORM이 종료된 후 위협 행위자는 러시아어를 사용하는 최소 2개의 지하 포럼에서 Nemty를 홍보하는 것으로 전환했습니다.

2020년 3월, Nefilim 랜섬웨어는 Corporate Leaks라는 데이터 유출 사이트와 함께 새로운 제휴 프로그램으로 등장했습니다. 다음 달에 Farnetwork는 Nemty가 비공개로 전환될 것이라고 발표했습니다.

네피림이 피해자를 발표했다
네피림이 피해자를 발표했다 (그룹-IB)

2021년 6월에는 Karma라는 Nefilim의 리브랜딩 가능성이 있는 제품이 등장했고, 2021년 7월에 Nefilim은 침묵했습니다. 그 기간 동안 Farnetwork는 Citrix VPN의 제로데이 취약점에 대한 정보를 찾고 있었습니다.

2023년 2월, Farnetwork는 채용 담당자 및 액세스 관리자로서 Nokoyawa 랜섬웨어와 협력하고 있다고 RAMP 포럼으로 전환했습니다.

RAMP에서 RaaS 홍보
RAMP에서 RaaS 홍보 (그룹-IB)

Group-IB의 조사 결과에 따르면 Farnetwork는 언급된 랜섬웨어 변종의 개발이나 적어도 진화 및 관리에 관여한 것으로 의심됩니다. 가장 강력한 유대 관계는 Nemty의 진화로 간주되는 Nefilim과 Karma입니다.

Farnetwork 활동 타임라인
Farnetwork 활동 타임라인 (그룹-IB)

Group-IB는 서로 다른 사용자 이름을 동일한 위협 행위자에게 연결하여 랜섬웨어 작업이 왔다 갔다 할 수 있지만 그 뒤에는 새로운 이름으로 비즈니스를 계속하는 노련한 개인이 있음을 보여줍니다.

Leave A Reply

Your email address will not be published.