Карьера повелителя шифровальщиков farnetwork: 4 года, 5 RaaS-сервисов

Карьера повелителя шифровальщиков farnetwork: 4 года, 5 RaaS-сервисов

Эксперту Group-IB удалось завоевать доверие владельца RaaS-сервиса (Ransomware-as-a-Service), созданного на основе Nokoyawa, и получить информацию о других операциях спеца по работе с шифровальщиками, использующего ник farnetwork.

Вступив в контакт с русскоговорящим поставщиком Nokoyawa-услуг, исследователь сыграл роль потенциального аффилиата. В ходе собеседования ему пришлось доказать умение развертывать вредоносов этого класса и собирать выкуп.

Как оказалось, карьера farnetwork как киберпреступника началась как минимум в 2019 году. Вначале он под разными никами продавал на подпольных форумах трояна RazvRAT (с модулем hVNC), а также на правах участника RaaS-партнерки помогал совершенствовать шифровальщика JSWorm и сервис на его основе.

По мере развития этого проекта стали появляться производные вымогательской программы — Nemty, Nefilim, Karma (каждый раз проводился ребрендинг). Набравшись опыта, farnetwork запустил собственный RaaS-сервис на базе заинтересовавшего его Nokoyawa и начал набирать аффилиатов.

Он также расширил стандартный пакет услуг, создав бот-сеть для обеспечения готового доступа к корпоративным сетям. На ботнет загружались списки краденых учетных данных, приобретенные в даркнете; результаты автоматизированного взлома предоставлялись клиентам за дополнительные 20% выручки от использования зловреда (за его аренду farnetwork взимал 15%).

 

В прошлом месяце сайт утечек, созданный в рамках Nokoyawa-сервиса, перестал работать. На момент закрытия представленный на нем список жертв содержал 35 позиций. В Group-IB не верят, что farnetwork решил уйти на покой; не исключено, что через некоторое время он вновь объявится, под другим именем и с очередной RaaS-программой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ФСБ России может получить доступ к IP-адресам и учеткам путешественников

Минтранс России подготовил проект приказа, согласно которому перевозчики с 1 сентября должны будут передавать в отраслевую ГИС дополнительные данные клиентов, в том числе имейл, номер телефона, IP-адрес, пароль к аккаунту, информацию о платежах.

Перечень сведений о пассажирах, подлежащих передаче в единую государственную информационную систему обеспечения транспортной безопасности (ЕГИС ОТБ) был утвержден еще в 2009 году. Оператором сводной базы является ФГУП «ЗащитаИнфоТранс», доступ к ней имеют, в частности, Ространснадзор, МВД и ФСБ.

Согласно действующим нормам, перевозчики обязаны направлять в ГИС паспортные данные пассажиров, даты и маршруты поездок. Новый приказ по отрасли обяжет их предоставлять также следующую информацию:

  • сведения, которые пассажир указывает при бронировании и покупке билета (Passenger Name Records, PNR), в том числе имейл и телефон;
  • логин и пароль пользователя сайта или приложения;
  • IP-адрес заказчика и номер порта;
  • номер платежной карты (последние четыре цифры), название банка, стоимость билета, класс обслуживания.

Все эти данные должны передаваться в ГИС в течение 15 минут после завершения операции — трудновыполнимая задача с учетом того, что перевозчики используют разные системы бронирования (к примеру, воздушный транспорт сейчас пользуется Leonardo и «ТАИС»). Срок хранения данных в ЕГИС ОТБ — семь лет.

Новый порядок централизованного сбора ПДн должен заработать с 1 сентября и будет действовать на воздушном, водном, железнодорожном транспорте, а также на автотранспорте (международные и междугородные рейсы, кроме Москва / Подмосковье и Питер / Ленобласть).

Кстати, доступ к данным пассажиров такси у ФСБ уже есть, соответствующий закон вступил в силу 1 сентября прошлого года.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru