Это исследование началось с OSINT-анализа отчетов о программах-вымогателях. Благодаря индикатору, связанному с сервером Cobalt Strike, мы обнаружили потенциальную связь между партнерской программой Nokoyawa, группой финансово-мотивированных хакеров FIN7 и Buhti.
Затем мы обратились к анализу бэкграунда предположительного владельца партнерской программы Nokoyawa – пользователя с псевдонимом farnetwork, и обнаружили новые связи.
Анализируя сообщения злоумышленников на андеграундных форумах, специалисты F.A.C.C.T. заметили сходства между стилем и тематикой сообщений пользователей с никнеймами farnetwork, rinc, salfetka. Все они так или иначе оказались связаны с программами-вымогателями и поиском доступов в корпоративные сети.
Ключевые выводы исследования:
- пользователи с никнеймами farnetwork, rinc, salfetka – это одно и то же лицо;
- злоумышленник периодически меняет свои аккаунты и контакты на андеграундных форумах;
- farnetwork ранее был связан с несколькими шифровальщиками, из последних значимых связей – партнерская программа Nokoyawa;
- псевдоним rinc является анаграммой от Ransom и INC, отсылка к INC Ransom;
- пользователь под псевдонимом salfetka продавал исходные коды INC Ransom;
- исследуемый персонаж (farnetwork, rinc, salfetka) уже много лет находится в криминальном бизнесе, связанном с программами-шифровальщиками;
- обнаружены также другие псевдонимым злоумышленника — Badbone, Blindman, rd2x45dm;
- анализ сетевой инфраструктуры говорит о том, что с участием этого злоумышленника могли совершаться и другие атаки шифровальщиков.
Подробнее о том, как аналитики F.A.C.C.T. пришли к подобным выводам, читайте в нашем блоге.
Часть 1. Необычный сервер Cobalt Strike
В апреле 2024 года исследователи из The DFIR Report опубликовали отчет, описывающий цепочку атаки вируса-вымогателя Nokoyawa в феврале 2023 года.
В ходе анализа информации из этого отчета специалисты F.A.C.C.T. обратили внимание на интересные детали.
До запуска шифровальщика атакующие использовал сервер Cobalt Strike, который был развернут на домене msc-mvc-updates[.]com с IP адресом 91[.]215[.]85[.]183.
Рис. 1 Снимок экрана – данные из отчета «The DFIR Report»
Специалисты F.A.C.C.T. отметили, что данный сервер уже фигурировал в других отчетах и атаках. С помощью хантинг правил на инфраструктуру злоумышленников, 11.04.2023 данный сервер был атрибутирован системой F.A.C.C.T. Threat Intelligence к FIN7, поскольку на нем были обнаружены уникальные признаки, выявляемые на серверах FIN7 ранее.
Рис. 2 Скриншот графа сетевой инфраструктуры F.A.C.C.T. Threat Intelligence
FIN7 — это финансово-мотивированная преступная группа, действующая с 2015 года. По данным исследователей, злоумышленники из FIN7 связаны с использованием программ-шифровальщиков Revil (Sodinokibi), также считается, что из FIN7 нее отделились такие группировки как DarkSide и BlackMatter, запомнившееся своими дерзкими атаками в 2021 году, а эксперты Symantec заявляли, что FIN7 стоит во главе RaaS ALPHV (BlackCat).
По данным исследователей из Symantec, сервер 91[.]215[.]85[.]183 фигурировал в атаке шифровальщика Buhti в феврале 2023.
Buhti – группировка, впервые замеченная в феврале 2023 года, активно эксплуатирующая уязвимости CVE-2023-27350, CVE-2022-47986 и использующая для шифрования данных утекший ранее инструментарий Babuk и LockBit 3.0 (Black), однако для кражи и эксфильтрации данных Buhti использовали собственный инструмент, написанный на Golang.
В статье The DFIR Report атака с использованием данного Cobalt Strike сервера привела к заражению Nokoyawa Ransomware – это появившийся в феврале 2022 года вирус шифровальщик, владельцем партнерской программы которого предположительно является пользователь даркнет-форумов под ником farnetwork.
Приводим конфигурационные файлы Cobalt Strike, обнаруженные системой F.A.C.C.T. Threat Intelligence на исследуемом сервере 91[.]215[.]85[.]183:
Конфиг Cobalt Strike, найденный 17.01.2023
"config_payload": "http-get.uri": "91.215.85.183,/jquery-3.3.1.min.js", "stage.cleanup": 1, "http-get.server.output": "AAAABAAAAAEAAAXyAAAAAgAAAFQAAAACAAAPWwAAAA0AAAAPAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==", "post-ex.spawnto_x64": "%windir%\\sysnative\\dllhost.exe", "post-ex.spawnto_x86": "%windir%\\syswow64\\dllhost.exe", "watermark": 206546002, "sleeptime": 13000, "publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCN5UAJbAA83lOuZlkNoqHDAdV1F7OJnqUiF3kD6mwuXzJzVpu9+f4l/QIUotuiQA+vvxdM3q/XGu77WogAe90LRUknEdoD6YnU32G/ts9dbSwG6HySt7cLn5B3FsomLWjBbssH9e31TihCUvZbK6PRzmLW4SBgZigBWLXZgu7+SwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==", "http-post.client": "GAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://code.jquery.com/Accept-Encoding: gzip, deflate__cfduid", "ssl": true, "publickey_md5": "30b36f36546ab96c82b296ad6761d624", "http-post.uri": "/jquery-3.3.2.min.js", "jitter": 44, "cookieBeacon": 1, "text_section": 1, "port": 443, "http-get.client": "GAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://code.jquery.com/Accept-Encoding: gzip, deflate__cfduid=Cookie", "http-get.verb": "GET", "proxy_type": 2, "user-agent": "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"
Конфиг Cobalt Strike, найденный 02.05.2023
"config_payload": "http-get.uri": "91.215.85.183,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books", "http-get.server.output": 1048576, "post-ex.spawnto_x64": "%windir%\\sysnative\\rundll32.exe", "post-ex.spawnto_x86": "%windir%\\syswow64\\rundll32.exe", "watermark": 674054486, "sleeptime": 5000, "publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCdklm7jdfoNZRLRiINPrUukMihsTC+79MqgtIWWXfNaxDV8V9aEjmB3sBoMcIdpwXhfrUwa+LLXaeEProFrQu3JMEVvb+VSj5Ewth5SuCID5ziqi75FbriQv6BWMwAb58sv6xRpOc9A59xxMb6B5ABNWbemTBoDEb/BhcHFOQIlwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==", "http-post.client": "Accept: */*Content-Type: text/xml X-Requested-With: XMLHttpRequestHost: www.amazon.comsz=160x600oe=oe=ISO-8859-1;sns=3717\"dc_ref=http%3A%2F%2Fwww.amazon.com", "ssl": true, "publickey_md5": "cf002d9ee0e90e71cde6cd6b7fc7e0fa", "http-post.uri": "/N4215/adj/amzn.us.sr.aps", "cookieBeacon": 1, "port": 8443, "http-get.client": "Accept: */*Host: www.amazon.comsession-token=skin=noskin;,csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996Cookie", "http-get.verb": "GET", "proxy_type": 2, "user-agent": "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
Часть 2. По следам farnetwork
Киберпреступная карьера farnetwork (у него было ранее множество никнеймов, среди которых и farnetworkl), согласно отчету специалистов Group-IB, началась как минимум в 2019 году. Он занимался рядом вредоносных программ, таких как RazvRAT, а также вредоносными программами-шифровальщиками Nemty, Nefilim, Karma. Последним известным детищем злоумышленника была партнерская программа (Ransomware as a Service — RaaS) Nokoyawa, партнеров для которой он искал на андеграундных форумах. Пример сообщения от марта 2023 ниже.
Рис. 3. Снимок экрана – сообщение пользователя farnetwork, доступное в F.A.C.C.T. Threat Intelligence
Всего через 4 месяца после публикации данного сообщения на форуме RAMP, пользователь farnetwork заявил что уходит в инактив, но уже на форуме exploit. Однако, довольно сложно поверить, что farnetwork решил все бросить и перестать заниматься криминальным бизнесом, связанным с вымогателями.
Рис. 4. Снимок экрана – сообщение пользователя farnetwork, доступное в F.A.C.C.T. Threat Intelligence
Довольно интересным фактом является то, что в начале июля того же года на форуме exploit появился пользователь под ником rinc , создавший топик на тему покупки доступов:
Рис. 5. Снимок экрана – сообщение пользователя rinc, доступное в F.A.C.C.T. Threat Intelligence
Практический такой же топик мы можем найти и у еще не ушедшего в инактив farnetwork:
Рис. 6. Снимок экрана – сообщение пользователя farnetwork, доступное в F.A.C.C.T. Threat Intelligence
Опираясь только на данные факты сложно делать выводы, однако если посмотреть, как общается farnetwork, можно найти еще одно сходство с пользователем rinc:
Рис.7. Снимок экрана – сообщение пользователя farnetwork, доступное в F.A.C.C.T. Threat Intelligence
Рис. 8. Снимок экрана – сообщение пользователя rinc, доступное в F.A.C.C.T. Threat Intelligence
Как можно заметить, farnetwork и rinc допускают одну и туже грамматическую ошибку, оба пользователя пишут слово «актуально» с двумя буквами «к». Также rinc пишет о том, что «занимается рансомом 8 лет» (запомните этот момент, он нам еще пригодится в будущем):
Рис. 9. Снимок экрана – сообщение пользователя rinc, доступное в F.A.C.C.T. Threat Intelligence
Спустя почти полгода с даты регистрации, пользователь rinc в такой же манере что и farnetwork сообщил о том, что уходит в инактив:
Рис. 10.Снимок экрана – сообщение пользователя rinc, доступное в F.A.C.C.T. Threat Intelligence
Но и на этом путь farnetwork не заканчивается, уже через 4 месяца на форуме exploit был зарегистрирован новый пользователь под ником salfetka, чьим первым топиком уже по традиции стал поиск доступов в компании в США и Канаде:
Рис. 11. Снимок экрана – сообщение пользователя salfetka, доступное в F.A.C.C.T. Threat Intelligence
И опять идентичное написание слова «актуально»:
Рис. 12. Снимок экрана – сообщение пользователя salfetka, доступное в F.A.C.C.T. Threat Intelligence
Также вспомним, что rinc 23 сентября 2023 года писал о том, что он «8 лет занимается рансомом», а пользователь salfetka в свою очередь на следующий год сообщает о том, что он «в этой теме уже 9 лет»:
Рис. 13. Снимок экрана – сообщение пользователя salfetka, доступное в F.A.C.C.T. Threat Intelligence
Основываясь на всех вышеперечисленных фактах, а именно: одинаковые написания слов, схожая сфера деятельности и довольно последовательный таймлайн существования всех аккаунтов, можно сделать вывод, что скорее всего farnetwork, rinc и salfetka – это все один и тот же человек, умело скрывающийся под разными никами на форумах. Можно предположить, что это делается, чтобы не привлекать излишнего внимания к своей персоне.
Рис. 14. Таймлайн активности аккаунтов farnetwork, rinc и salfetka
Однако самое интересное еще впереди, 10 мая 2024 года пользователь salfetka создал топик о продаже исходного кода INC Ransom. На DLS группировки объявлений о продаже вредоносной программы не появлялось. Однако, на конец июля 2024 года стало известно, что судя по всему, исходный код INC Ransom нашел своего покупателя, им стала группировка Lynx.
Рис. 15. Снимок экрана – сообщение пользователя salfetka, доступное в F.A.C.C.T. Threat Intelligence
Продолжая исследовать предыдущие сообщения пользователя salfetka в поисках его связи с INC Ransom, специалисты F.A.C.C.T. обнаружили единственное сообщение пользователя rinc, где он в качестве способа связи указал свой Telegram-аккаунт @INCRANtg (что является составным словом от INC + Ransom + Tg).
Рис. 16. Снимок экрана – сообщение пользователя rinc, доступное в F.A.C.C.T. Threat Intelligence
Также можно отметить, что вероятнее всего никнейм rinc является ни чем иным, как анаграммой от «INC Ransom».
Рис. 17. Снимок экрана – скриншот профиля @INCRANtg
Объединив все факты воедино, можно прийти к выводу, что farnetwork неким образом связан с шифровальщиком INC Ransom, вполне вероятно, он мог стоять у истоков данного шифровальщика.
Рис. 18 Схема связей аккаунтов farnetwork, rinc и salfetka с программами-вымогателями
Специалисты F.A.C.C.T. провели анализ контактов, которые farnetwork/rinc/salfetka оставлял на форумах, а также сообщений с похожей тематикой. Были обнаружены следующие псевдонимы, которые вероятно использовал злоумышленник:
- Badbone
- Blindman
- rd2x45dm
24.11.2023 пользователем rinc было опубликовано сообщение на форуме exploit, в котором он указал контакт Tox:
Рис. 19. Снимок экрана – сообщение пользователя rinc, доступное в F.A.C.C.T. Threat Intelligence
Проанализировав контакты злоумышленника, специалисты F.A.C.C.T. обнаружили идентичное сообщение от пользователя Blindman на форуме XSS:
Рис. 20. Снимок экрана – сообщение пользователя Blindman, доступное в F.A.C.C.T. Threat Intelligence
Еще раньше, а именно в октябре 2023 года, пользователем badbone было опубликовано сообщение на форуме RAMP с теми же контактами и с идентичной тематикой (покупка доступов).
Рис. 21. Снимок экрана – сообщение пользователя badbone, доступное в F.A.C.C.T. Threat Intelligence
В ходе анализа сообщений пользователя badbone было обнаружено еще несколько контактов:
Рис. 22. Снимок экрана – сообщение пользователя badbone, доступное в F.A.C.C.T. Threat Intelligence
Рис. 23. Снимок экрана – сообщение пользователя badbone, доступное в F.A.C.C.T. Threat Intelligence
Проведя поиск по вышеописанным контактам, специалисты F.A.C.C.T. также обнаружили пользователя форума XSS под псевдонимом rd2x45dm:
Рис. 24. Снимок экрана – сообщение пользователя rd2x45dm, доступное в F.A.C.C.T. Threat Intelligence
Как оказалось, аккаунтов, под которыми скрывался farnetwork, оказалось еще больше, чем в начале исследования.
Рис. 25. Дерево связей аккаунтов злоумышленника
Часть 3. INC Ransomware
INC Ransom – группировка, впервые замеченная в августе 2023 года и активная до сих пор. Основной вектор атак приходится на США и Канаду, что в очередной раз коррелирует с топиками пользователя salfetka и его других альтер-эго. Злоумышленники шифруют данные с расширением «.INC» и запрашивают выкуп. Ранее вирус-вымогатель INC Ransom был замечен в атаках на такие крупные компании, как Xerox и Yamaha. Кроме того, вирус-шифровальщик применялся в атаке на систему здравоохранения Шотландии. Группировка активно ведет свои DLS (как в onion сегменте, так и в открытом интернете), где публикует данные о своих жертвах.
Рис. 26. Снимок экрана – DLS INC Ransom
В одно и то же время, а именно 1 мая 2024 года, на обеих DLS появилось сообщение о переезде на новые адреса:
Рис. 27. Снимок экрана – сообщение INC Ransom о переезде на новый блог
Но при этом, вопреки заявлению, старые DLS продолжают работать и обновляться.
Интересным фактом является то, что списки жертв на новой версии DLS и старой версии DLS после переезда не совпадают. На старом сайте есть компании, не упомянутые на новом, а новый пополняется новыми жертвами, которые уже не отображаются на старом. Это наталкивает на мысль о том, что в группировке возможно произошел конфликт, она разделилась на две и к одной из отколовшихся частей относится сам salfetka.
Рис. 28. Снимок экрана – новые DLS INC Ransom
Также стоит отметить, что дизайн новой страницы INC визуально напоминает дизайн DLS Hunters International, что может указывать на связь с другой RaaS.
Рис. 29. Снимок экрана – DLS Hunter International
Изучая всевозможные отчеты и публичные исследования, можно построить следующую логическую цепочку. По мнению исследователей Trend Micro, вирус-шифровальщик Nokoyawa, с которым плотно связан (возможно, основал партнерскую программу) злоумышленник farnetwork, тесно связан с семейством вымогателей Hive и имеет очень схожие цепочки атак. Похожая история происходит с группировкой Hunters International: исследователи в области ИБ (rivitna и BushidoToken) указывают на то, что партнерская программа Hunters International может оказаться ребрендингом Hive.
Опираясь на следующие факты, что:
- farnetwork является, предположительно, основателем партнерской программы Nokoyawa;
- farnetwork связан с INC Ransom;
- новый DLS INC Ransom похож на DLS Hunter International;
- Nokoyawa и Hunters International связаны с Hive;
Мы можем предположить, что farnetwork уже много лет находится в криминальном бизнесе, связанным с вирусами-шифровальщиками, за все эти долгие годы он сменил не один проект и определенным образом причастен ко всем вышеперечисленным вирусам-шифровальщикам. Мы предполагаем, что деятельность данного злоумышленника может продолжаться и дальше, правда уже под новыми псевдонимами и названиями партнерских программ.
