Manager di Ransomware seriale
L’esperienza del team di Threat Intelligence di Group-IB ha cercato di infiltrarsi nel programma privato di Ransomware-as-a-Service Nokoyawa
Il team di Threat Intelligence di Group-IB ha cercato di infiltrare un programma privato di Ransomware-as-a-Service (RaaS) basato su Nokoyawa e gestito da farnetwork, un attore della minaccia noto su diversi forum sotterranei come farnetworkl, jingo, jsworm, razvrat, piparkuka e farnetworkit. Farnetwork ha iniziato a reclutare attivamente affiliati per il suo programma RaaS nel febbraio 2023.
Durante il “colloquio di lavoro”, farnetwork ha rivelato una serie di dettagli preziosi non solo su Nokoyawa, ma sulla sua intera carriera, consentendo ai ricercatori di Group-IB di tracciare l’intero sviluppo di questo prolifico master mind del ransomware, di cui in precedenza avevano studiato attentamente la presenza online su forum sotterranei e le attività condotte sotto vari pseudonimi tra il 2019 e il 2023.
farnetwork è risultato coinvolto in diversi progetti di ransomware tra loro collegati, tra cui JSWORM, Nefilim (un’operazione di ransomware condotta a livello mondiale con oltre 40 vittime), Karma e Nemty. Hanno contribuito allo sviluppo del ransomware e alla gestione di programmi RaaS di terzi prima di lanciare il proprio programma RaaS basato sul ransomware Nokoyawa (utilizzato anche da ShadowSyndicate).
Il 19 giugno 2023, farnetwork ha annunciato che avrebbe smesso di reclutare nuovi affiliati, dichiarando di volersi ritirare dal business. Ma è davvero la fine di farnetwork?
Conclusioni
Le indagini di Group-IB mostrano che farnetwork è un attore minaccia esperto e altamente qualificato. I loro progetti precedenti hanno mietuto un gran numero di vittime e cagionato considerevoli danni finanziari alle organizzazioni. Farnetwork è diventato uno dei player più attivi del mercato RaaS. Il threat actor è risultato infatti coinvolto in almeno cinque programmi Ransomware-as-a-Service in meno di cinque anni. I ricercatori di Group-IB hanno rinvenuto altresì prove che suggeriscono che l’attore minaccia non solo ha gestito programmi RaaS, ma ha anche sviluppato ransomware in proprio.
Nonostante l’annuncio del ritiro di farnetwork e la chiusura di Nokoyawa DLS, che è l’ultimo progetto noto dell’attore, il team di Threat Intelligence di Group-IB non crede che l’attore della minaccia si fermerà. Come è successo più volte in passato, è molto probabile che assisteremo a nuovi programmi di affiliazione ransomware e a operazioni criminali su larga scala orchestrate da farnetwork. Il team di Threat Intelligence di Group-IB continuerà a monitorare l’attività dell’attore minaccia e fornirà aggiornamenti quando saranno disponibili.
Raccomandazioni
Sebbene la preferenza dei gruppi ransomware per organizzazioni operanti in settori critici sia nota, essi sono una minaccia per le aziende di qualunque comparto. Oltre ad aggiungere nuovi membri alla sua rete, il programma di affiliazione di farnetwork fornisce ai membri gli strumenti e le tecniche più recenti e finanche il ransomware stesso. Alla luce di ciò risulta essenziale che le aziende prendano immediatamente misure specifiche tutelare le loro attività e i dati critici. Group-IB raccomanda quindi quanto segue:
Aggiungere più livelli di sicurezza: L’autenticazione a più fattori (MFA) e le soluzioni di accesso basate sull’identificazione aiutano le aziende a proteggere i loro asset critici e gli utenti ad alto rischio, rendendo più difficile per gli attaccanti avere successo. Inoltre, il backup dei dati dovrebbe essere eseguito regolarmente poiché riduce i danni e aiuta le organizzazioni a evitare la perdita di dati a seguito di attacchi ransomware.
Monitorare le vulnerabilità: Più a lungo una vulnerabilità rimane aperta, maggiore è il rischio che venga sfruttata da criminali informatici. Le patch di sicurezza vanno quindi trattate con priorità. Le organizzazioni dovrebbero anche stabilire un processo per rivedere e applicare regolarmente le patch man mano che diventano disponibili. Oltre a ciò, occorre non ignorare nuove vulnerabilità emergenti. Un’analisi annuale dell’infrastruttura tramite audit tecnico o una valutazione del livello di sicurezza non è solo una buona abitudine, ma apporta anche un livello di protezione aggiuntivo, molto necessario. L’integrità dell’infrastruttura e la conformità a processi di igiene digitale andrebbero monitorate continuamente.
Fermare il ransomware con la rilevazione precoce: L’analisi comportamentale delle soluzioni di Endpoint Detection and Response (EDR) consente alle aziende di identificare i primi indicatori di ransomware sugli endpoint gestiti e di avvisare tempestivamente il team preposto alla cybersecurity su attività potenzialmente sospette per ulteriori verifiche. Questo approccio proattivo rende la rilevazione, l’analisi e la risoluzione di minacce note e non note più agile.
Formare i dipendenti: I dipendenti vanno istruiti sui rischi legati alla rete, agli asset, ai dispositivi e all’infrastruttura dell’organizzazione. Il fattore umano rimane una delle maggiori vulnerabilità nella sicurezza informatica. Le organizzazioni dovrebbero condurre programmi di formazione ed esercitazioni di sicurezza per aiutare i dipendenti a riconoscere e riportare già al primo segnale episodi di criminalità informatica (ad esempio mail di phishing).
Non pagare mai il riscatto: Nel 97% degli attacchi ransomware, è impossibile recuperare l’accesso ai dati senza il software di decrittazione. Gli esperti di Incident Response di Group-IB sconsigliano tuttavia di affrettarsi a pagare i riscatti. Gli attori delle minacce motivati finanziariamente cercano di riscuotere somme ancora maggiori dalle organizzazioni. Se anche un attaccante restituisce i dati, un altro verrà a conoscenza della volontà di pagare, portando a un aumento del numero di tentativi di attacco alla stessa azienda. La cosa migliore da fare è contattare gli esperti di risposta agli incidenti il più rapidamente possibile.
Le organizzazioni dovrebbero utilizzare soluzioni analitiche avanzate basate sull’AI per rilevare le intrusioni in tempo reale. Il Managed XDR di Group-IB, ad esempio, in combinazione con la Threat Intelligence, aiuta le organizzazioni a comprendere le TTP (“Tactics, Techniques, Procedures”) specifiche delle APT e di altre tipologie di minacce e ad adattare di conseguenza le proprie strategie di sicurezza. Ciò consente di dotarsi di una cybersicurezza a più livelli (endpoint, e-mail, web e rete) attraverso la rilevazione e la risposta automatizzata alle minacce.
