当Group-IB团队的安全研究人员响应一则加入勒索软件即服务(RaaS)行动的广告时,他们与联盟业务中最活跃的威胁行动者之一进行了一次网络犯罪求职面试,结果发现他是至少五种不同勒索软件的幕后黑手。
我们来认识一下“farnetwork”,他在向Group-IB团队的网络威胁研究人员提供了太多细节后被揭穿真实面目,该研究员假装自己是Nokoyawa勒索软件组织的潜在联盟成员。该团队了解到,该网络犯罪分子的别名还包括 jingo、jsworm、razvrat、piparuka 和 farnetworkit。
在卧底研究人员能够证明他们可以执行权限升级、使用勒索软件加密文件并最终要求现金换取加密密钥后,farnetwork准备好了讨论细节。
在通信过程中,Group-IB研究人员了解到,farnetwork已经在各种企业网络中立足,只需要有人采取下一步行动——即部署勒索软件并收钱。Group IB团队了解到,这笔交易的运作方式如下:Nokoyawa附属公司将获得65%的勒索资金,僵尸网络所有者获得20%,勒索软件所有者获得15%。
Group-IB团队在其最新报告中解释说,Nokayawa只是farnetwork正在运行的最新勒索软件操作。威胁行为者最终提供了足够的详细信息,让Group-IB团队能够追踪远网络早在2019年就正在进行的勒索软件活动。
Farnetwork向研究人员吹嘘了过去对Nefilim和Karma勒索软件的操作,以及接收高达100万美元勒索软件付款的情况。骗子还提到了过去与Hive和Nemty的合作。
这些信息足以让Group-IB团队拼凑出Farnetwork过去多产的勒索软件攻击履历。
Group-IB表示,从2019年到2021年,farnetwork是JSWORM、Karma、Nemty和Nefilim勒索软件病毒的幕后黑手。报告补充说,仅Nefilim的RaaS项目就造成了40多名受害者。
到2022年,farnetwork在Nokoyawa业务中找到了落脚点,并于去年2月积极招募该计划的附属机构。
报告称:“根据其运营时间表,可以合理地推断,Farnetwork一直是RaaS市场中最活跃的参与者之一。”
Nokoyawa此后关闭了其RaaS业务,farnetwork也宣布即将退役,但Group-IB研究人员怀疑,该系列勒索软件运营商很快就会以另一种病毒形式再次出现。
Group-IB 的报告称:“尽管 Farnetwork 宣布退休,并且关闭了该攻击者最新的已知项目 Nokoyawa DLS,但 Group-IB 威胁情报团队并不认为该威胁攻击者会退出。” “正如过去多次发生的那样,我们很可能会目睹新的勒索软件附属计划和由 Farnetwork 精心策划的大规模犯罪活动。”