Доклад разкрива дейността на голям RaaS оператор
В последните години сцената на киберпрестъпния свят показва притеснителна жизнеспособност. Голям тласък за това развиване се явяват трендове, приемащи се от от ден на ден артисти на тази сцена, засилващото се взаимоотношение сред тях и неуспеха на организации от всевъзможен мащаб да защитят мрежите си съответно.
По отношение на рансъмуер офанзивите, с изключение на възприемането на двойното изнудване, налагането на бизнес модела „ рансъмуер като услуга “ (Ransomware-as-a-Sevice, RaaS) се явява един от ключовете на триумфа тук. Става дума за практиката, при която основателят или основателите на дадена опасност, отдават „ чартърен “ кодова база и командна конструкция на други киберпрестъпници в подмяна на част от откупа, който вероятно те ще получат от дейностите си. В резултат на това, офанзивите с обещано семейство рансъмуер се мултиплицират, основният оператор и основател на опасността резервира своята анонимност и в това време печели без да е правил съответни дейности. Ситуация, в който всеки печели с изключение на жертвата, несъмнено. Наскоро, основаната в Сингапур съветска компания за сигурност Group-IB разгласява свое следствие над авторитетен RaaS оператор, който те назовават farnetwork.
Става дума за лице или група, която се свързва с пет разнообразни рансъмуер закани – JSWORM, Karma, Nemty, Nefilim и Nokoyawa. Стартирал, „ кариерата “ си преди четири години, farnetwork афишира предишния месец, че се отдръпва от дейна активност – деяние, което Group-IB допускат, че ще е краткотрайно. Farnetwork стартира с подкрепяне на няколко RaaS стратегии преди самият той да започва своя лична.
Специалистите от Group-IB дават отговор на публикация за набиране на нови „ сътрудници “ на farnetwork и след диалог с RaaS оператора научават скъпи познания за работата на групата. Освен всичко останало, за разлика от други сходни оператори, farnetwork дава на сътрудниците си и достъп до компрометирани мрежи, с помощта на платен подобен от ъндърграунд конгреси. Това е и повода, процентът, който се дава на „ колегата “ в тази ситуация да е по-нисък от общоприетия. Разработчикът на програмата получава 15% от откупа, въпросният сътрудник – 65%, а операторът на ботнета, осигуряващ достъпа до компрометираните мрежи – 20%. Рансъмуер операторът подлага на тест претенденти, изисквайки от тях да проведат пробна офанзива към определена цел преди да бъдат утвърдени за интервенциите с Nokoyawa, като се не разрешава категорично да се нападат медицински и здравни заведения.
Това, което откриват Group-IB е, че Nokoyawa е зловредна стратегия, основана на други две криптозаплахи – Karma и Nefilim, които от своя страна съставляват усъвършенствани версии на Nemty. Самата опасност се появява при започване на предходната година, като Trend Micro свързват операторът на Nokoyawa с тези зад друга огромна рансъмуер опасност – Hive. За късото си битие, рансъмуер програмата нападна сполучливо 35 цели (до октомври тази година) по целия свят – от Съединени американски щати (с най-вече компрометирани мрежи) и Англия до Австралия, Мароко, Сингапур и Филипините. Средната стойност на откупа, който желаят разпространяващите Nokoyawa възлиза на $200 000 в биткойн, а най-често употребяваните помощни стратегии при интензивността си, които употребяват са PSExec (легитимен инструмент за отдалечена администрация), Cobalt Strike, IcedID и AdFind (за търсене и придобиване на информация от Active Directory). Що се отнася до другите рансъмуер интервенции, с които се свързва активността на farnetwork, то на уеб страниците, където киберпрестъпниците разгласяват информация за жертвите си, Karma е със относително невисок триумф и имената на четири компании. Не по този начин стои въпросът с Nefilim. Заплахата е дейна от март 2020 до лятото на идната година, през което време са наранени над 40 компании.
В умозаключение Group-IB пишат, че farnetwork се явява извънредно умел и ловък представител на киберпрестъпната сцена. За късия период от пет години, той взе участие в пет RaaS стратегии, като с изключение на началник на такава, той е и разработчик на рансъмуер опасността, на която се основава дейностите на схемата му. А с цел да не станат организациите и компаниите жертви на farnetwork, Group-IB дават няколко съвета към грижещите се за сигурността на мрежите. Като обезпечаване на цялостна видимост над обособените крайни точки в мрежата и преприемането на самодеен метод посредством разполагането на съвременно EDR (Endpoint Detection and Response) решение. Не би трябвало да се пропуща опцията за полагането на спомагателна, многослойна отбрана и потреблението на многофакторно засвидетелствуване, както и потреблението на решения за фаворизиран достъп при вход (credential-based access solutions). Компаниите постоянно би трябвало да имат бекъп сюжети, а по този начин също да употребяват модерни решения за битка с офанзивите, включващи потреблението изкуствен интелект и принадлежности за изчерпателен разбор на средата. Актуализацията на софтуерното обграждане е наложителна мярка за превантивно застраховане на сигурността.
„ Колкото по-дълго една накърнимост остава незапушена, толкоз по-голям е риска тя да бъде експлоатирана от киберпрестъпници. Следователно актуализациите по сигурността би трябвало да са приоритет. Освен това, организациите би трябвало да открият развой по систематичен обзор на положението и да постановат обновленията незабавно щом станат налични “, пишат Group-IB.
Ръководството на тези организации не би трябвало да не помнят да образоват личния състав си за вероятните опасности.
„ Човешкият фактор си остава една от най-големите уязвимости в киберсигурността. Организациите би трябвало да организират обучителни стратегии и защитни подготвителни занятия, с цел да оказват помощ на чиновниците да разпознават и рапортуват ранните признаци на едно киберпрестъпление (например фишинг имейли). И последно, Group-IB предизвестяват жертвите на рансъмуер офанзиви да не заплащат откуп. Защо? Компанията дава просто пояснение:
„ Дори в случай че един хакер върне достъпа ви до информацията, различен ще разбере за готовността ви да платите, което ще докара до увеличение в опитите да се нападна компанията ви “, заключават Group-IB.
