Das Threat-Intelligence-Team von Group-IB versuchte, ein privates Ransomware-as-a-Service-Programm (RaaS) namens Nokoyawa zu infiltrieren. Die Group-IB-Spezialisten wurden im Laufe des Verfahrens von farnetwork interviewt, einem Threat Actor, der in den letzten vier Jahren mit fünf verschiedenen RaaS-Programmen in Verbindung gebracht wurde. Group-IB teilte alle Erkenntnisse über die cyberkriminelle Organisation mit den relevanten Strafverfolgungsbehörden.
Amsterdam – Das Threat-Intelligence-Team von Group-IB versuchte, ein privates Nokoyawa-RaaS-Programm zu infiltrieren, das von farnetwork gesteuert wurde, einem Threat Actor, der in mehreren Untergrundforen als farnetworkl, jingo, jsworm, razvrat, piparkuka und farnetworkit operiert. Im Februar 2023 begann farnetwork aktiv, Partner für sein RaaS-Programm zu rekrutieren.
Während des „Bewerbungsgesprächs“ gab farnetwork nicht nur wertvolle Details über Nokoyawa preis, sondern auch über den gesamten Werdegang der Organisation, was es den Forschern von Group-IB ermöglichte, die Aktivitäten des Ransomware-Masterminds nachzuverfolgen.
Im Vorfeld hatten die Forscher von Group-IB die Online-Präsenz dieses äußerst produktiven Bedrohungsakteurs in Untergrundforen sowie dessen Aktivitäten unter verschiedenen Nicknames zwischen 2019 und 2023 sorgfältig studiert.
farnetwork war an mehreren miteinander verzahnten Ransomware-Projekten beteiligt, darunter JSWORM, Nefilim (eine weltweite Ransomware-Operation mit mehr als 40 Opfern), Karma und Nemty. Sie halfen bei der Entwicklung von Ransomware und der Verwaltung von RaaS-Programmen, bevor sie ihr eigenes RaaS-Programm auf Basis der Nokoyawa-Ransomware starteten (die auch von ShadowSyndicate verwendet wurde).
Weitere Details zur kriminellen Karriere des Threat Actors und den Ransomware-Programmen, an denen sie beteiligt waren, stehen im Group-IB-Blog zur Verfügung.
Wichtigste Erkenntnisse
farnetwork warb aktiv um neue Partner und gab an, dass sie nach Personen suchten, die mit Zugängen zu kompromittierten Netzwerken zu arbeiten wussten. Sie versprachen, voll funktionsfähige Ransomware-Muster bereitzustellen und Unterstützung für Testzwecke. Die Kandidaten, die dem Ransomware-Geschäft von farnetwork beitreten wollten, mussten einen Test bestehen, für den farnetwork Logins und Passwörter zu kompromittierten Unternehmenskonten zur Verfügung stellte.
farnetwork teilte ebenfalls Details über das Erlösverteilungsmodell in seinem RaaS-Programm. Ein Ransomware-Partner, der einen erfolgreichen Angriff durchführt, erhält 65 % des Lösegelds, der Botnetz-Besitzer 20 % und der Ransomware-Entwickler 15 %. In anderen Programmen dürfen Partner normalerweise bis zu 85 % des Erlöses behalten, aber das Besondere im Fall von farnetwork ist, dass sich Partner keine Zugänge zu kompromittierten Netzwerken selbst verschaffen müssen. Stattdessen würden sie solche Zugänge von farnetwork beziehen, wo doch die Organisation ihr eigenes Botnetz mit Zugang zu mehreren Unternehmensnetzwerken betrieb.
Erwähnenswert dabei: Die Threat-Intelligence-Abteilung von Group-IB fand heraus, dass einige der von farnetwork bereitgestellten Anmeldedaten zuerst in der „Underground Cloud of Logs“ erschienen, einem Dienst, der Zugang zu kompromittierten vertraulichen Informationen bietet, die größtenteils durch Infostealer erbeutet wurden. Die vom Threat Actor bereitgestellten Anmeldeinformationen wurden mithilfe des berüchtigten RedLine-Information-Stealers kompromittiert, was darauf hinweist, dass sie nicht aus einer exklusiven Quelle wie dem Botnetz stammten.
Darüber hinaus erwähnte farnetwork ausdrücklich, dass sie Nokoyawa nicht entwickelt hätten und dass es Partnern nicht gestattet sei, medizinische bzw. Gesundheitseinrichtungen anzugreifen. Während des Chats teilte der Threat Actor auch mit, dass ihr RaaS-Partnerprogramm eine „Dedicated Leak Site“ (DLS) unterhielte. Die Forscher von Group-IB identifizierten zwei mit der Nokoyawa-Ransomware verbundene DLS-Plattformen. Eine war im Januar 2023 in Betrieb und enthielt Informationen über nur ein Opfer. Zum jetzigen Zeitpunkt ist diese Website nicht mehr zugänglich. Die zweite Nokoyawa-DLS erschien im Mai 2023, doch ihr Betrieb wurde im Oktober 2023 eingestellt. Bis dahin enthielt sie Informationen zu 35 Opfern.
Am 19. Juni 2023 kündigte farnetwork an, dass sie die Rekrutierung einstellen und sich aus dem Geschäft zurückziehen würden. Aber ist es wirklich das Ende von farnetwork?
Schlussfolgerungen
Die Ermittlungen von Group-IB zeigen, dass farnetwork ein erfahrener und hoch qualifizierter Threat Actor ist. Ihre früheren Projekte führten zu einer großen Anzahl von Opfern und erheblichen finanziellen Verlusten für Organisationen. farnetwork ist zu einem der aktivsten Player auf dem RaaS-Markt geworden. Der Threat Actor war in weniger als fünf Jahren an fünf Ransomware-as-a-Service-Programmen beteiligt. Die Forscher von Group-IB entdeckten Hinweise darauf, dass der Threat Actor nicht nur RaaS-Programme verwaltet hat, sondern auch selbst Ransomware entwickelte.
Trotz der Ankündigung von farnetworks Rücktritt und der Schließung der Nokoyawa-DLS, dem neuesten bekannten Projekt des Akteurs, glaubt das Threat-Intelligence-Team von Group-IB nicht, dass der Threat Actor aufhören wird. Wie es in der Vergangenheit mehrmals geschah, ist es sehr wahrscheinlich, dass neue von farnetwork orchestrierte Ransomware-Partnerprogramme und groß angelegte kriminelle Operationen ans Licht treten werden. Das Threat-Intelligence-Team von Group-IB wird die Aktivitäten des Threat Actors weiterhin überwachen und Updates bereitstellen, sobald verfügbar.
Empfehlungen
Obwohl Ransomware-Gruppen dafür bekannt sind, auf Unternehmen in kritischen Sektoren abzuzielen, sind sie eine Bedrohung für Organisationen in allen Branchen. Zusätzlich zur Aufnahme neuer Mitglieder in sein Netzwerk stattet das Ransomware-Partnerprogramm von farnetwork Mitglieder mit stets aktuellen Tools und Techniken aus und bietet sogar Ransomware an. Angesichts dessen ist es für Unternehmen unerlässlich, sofort spezifische Maßnahmen zu ergreifen, um ihre geschäftskritischen Operationen und Daten zu sichern. Demnach lauten die Empfehlungen von Group-IB:
- Fügen Sie mehr Sicherheitsebenen hinzu: Mehrfaktorauthentifizierung (MFA) und auf Identifizierung basierte Zugangslösungen helfen Unternehmen, ihre kritischen Assets und Hochrisikobenutzer abzusichern und es Angreifern zu erschweren, erfolgreich zu sein. Darüber hinaus sollten Datensicherungsprozesse regelmäßig durchgeführt werden, da sie Schäden reduzieren und Organisationen helfen, Datenverluste nach Ransomware-Angriffen zu vermeiden.
- Halten Sie Schwachstellen unter Kontrolle: Je länger eine Schwachstelle offen bleibt, desto größer ist das Risiko, dass sie von Cyberkriminellen ausgenutzt wird. Sicherheits-Patches sollten daher prioritär behandelt werden. Organisationen sollten auch einen Prozess einrichten, um die Verfügbarkeit von Sicherheits-Updates regelmäßig zu überprüfen und letztere anzuwenden, sobald sie ausgerollt sind. Darüber hinaus sollten aufkommende Schwachstellen nicht ignoriert werden. Die jährliche Überprüfung der eigenen Infrastruktur inklusive einer technischen Evaluierung oder Sicherheitsbewertung ist nicht nur eine gute Gewohnheit, sondern fügt obendrein eine dringend benötigte Schutzschicht hinzu. Die Integrität der Infrastruktur und die Einhaltung einer digitalen Hygiene sollten kontinuierlich überwacht werden.
- Stoppen Sie Ransomware durch frühzeitige Erkennung: Dank der Verhaltenserkennungsfähigkeiten von EDR-Lösungen („Endpoint Detection and Response“) können Unternehmen Ransomware-Indikatoren auf Endgeräten identifizieren und das Sicherheitsteam sofort auf verdächtige Aktivitäten aufmerksam machen, die einer weiteren Analyse bedürfen. Dieser proaktive Ansatz ermöglicht eine agile Erkennung, Untersuchung und Behebung sowohl bekannter als auch unbekannter Bedrohungen auf Endgeräten.
- Schulen Sie Mitarbeiter: Mitarbeiter sollten über die Risiken im Zusammenhang mit dem Netzwerk, den Assets, den Geräten und der Infrastruktur der Organisation informiert sein. Der menschliche Faktor bleibt eine der größten Schwachstellen in der Cybersicherheit. Organisationen sollten Schulungsprogramme und Sicherheitsübungen durchführen, um Mitarbeitern zu helfen, die Anzeichen von Cyberkriminalität (z. B. Phishing-E-Mails) zu erkennen und zu melden.
- Zahlen Sie niemals das Lösegeld: Obwohl es in 97 % der Ransomware-Angriffe unmöglich ist, ohne Entschlüsselungs-Software auf die Daten zurückzugreifen, empfehlen die Incident-Response-Experten von Group-IB nicht übereilt Lösegelder zu zahlen. Finanzmotivierte Bedrohungsakteure sind bestrebt, noch mehr von Organisationen zu kassieren. Selbst wenn ein Angreifer die Daten wieder freigibt, wird ein anderer von der Zahlungsbereitschaft erfahren, was zu einer Zunahme der versuchten Angriffe auf dasselbe Unternehmen führen wird. Das Beste, was man tun kann: So schnell wie möglich Experten für Incident-Response kontaktieren.
Organisationen sollten KI-gestützte, fortgeschrittene, Analytik-basierte Lösungen nutzen, um Einbrüche in Echtzeit zu erkennen. Group-IBs Managed XDR in Verbindung mit Threat Intelligence unterstützt Unternehmen beispielsweise dabei, Einblicke in die einzigartigen TTPs („Tactics, Techniques, Procedures“) von APTs und anderen Bedrohungsgruppen zu gewinnen und ihre Sicherheitsstrategien entsprechend anzupassen. Dies ermöglicht den Aufbau einer mehrschichtigen Cybersicherheit (Endgeräte, E-Mail, Web und Netzwerk) durch automatisierte Bedrohungserkennung und -reaktion.
