標題：威脅組織“farnetwork”與多個勒索軟件團伙有關聯

Nokoyawa勒索軟件即服務（RaaS）的運營商是一夥被稱為“farnetwork”的威脅組織，多年來通過幫助JSWORM、Nefilim、Karma和Nemty等勒索軟件團伙開發惡意軟件和管理運營積累了經驗。

網絡安全公司Group-IB近日的一份報告深入剖析了farnetwork的活動，以及闡述他們是如何逐漸成為勒索軟件行當中異常活躍的玩家。

farnetwork向威脅情報分析師們披露了細節，這些細節可以將他們與2019年開始的多起勒索軟件活動和一個可以訪問多個企業網絡的殭屍網絡聯繫起來。

據Group-IB向IT安全外媒體出示的報告顯示，這夥威脅組織擁有多個用戶名（比如farnetworkl、jingo、jsworm、razvrat、piparkuka和farnetworkitand），並活躍於多個俄語黑客論壇，試圖招募加盟團伙從事各種勒索軟件活動。

圖1. 威脅分子情況簡介（圖片來源：Group-IB）

今年3月，farnetwork開始為其基於Nokoyawa加密惡意軟件的勒索軟件即服務項目尋找加盟團伙。然而，Group-IB的威脅情報分析師表示，這夥威脅組織明確表示，他們沒有參與開發Nokoyawa的工作。

開展RaaS業務並沒有持續多久，farnetwork宣布將退出該領域，並在10月份關閉了Nokoyawa RaaS項目，此前該項目洩露了35名受害者的數據。

圖2. Nokoyawa公佈受害者（圖片來源：Group-B）

然而Group-IB認為，這夥威脅組織的策略是改變方向，以一個新的品牌重新開始，而這個舉動正是其中的一部分。

攻擊活動管理方在Nokoyawa勒索軟件中，farnetwork扮演了項目負責人、加盟團伙招聘者、暗網論壇上RaaS的推廣者和殭屍網絡管理方等多重角色。

該殭屍網絡使加盟團伙能夠直接訪問已經受到攻擊的網絡。為此，加盟團伙將向殭屍網絡的所有者支付所收取贖金的20%，而勒索軟件的所有者將獲得15%的分成。

考慮到其他項目支付高達85%的贖金作為分成，對勒索軟件加盟團伙來說，65%的分成是糟糕的交易，但成本已涵蓋了找到一個合適的目標並闖入其中所耗費的精力。

farnetwork測試加盟團伙候選對象的辦法是，向它們提供從地下日誌雲（UCL）服務獲得的幾個公司賬戶憑據，UCL服務出售由RedLine、Vidar和Raccoon等信息竊取惡意軟件竊取的日誌。

預計這些加盟團伙會升級其在網絡上的權限，竊取文件，運行加密程序，並要求支付贖金。

圖3. 網絡訪問憑據面板（圖片來源：Group-IB）

以往活動時間表Group-IB已經能夠追踪到farnetwork早在2019年1月的活動，發現了它與JSWORM、Nemty、Nefilim和Karma等勒索軟件團伙有關聯。

2019年4月，farnetwork在Exploit黑客論壇上大肆推廣JSWORM RaaS項目，這夥威脅組織對RazvRAT惡意軟件大打廣告。

圖4. 推銷RazvRAT惡意軟件（圖片來源：Group-IB）

2019年8月，在JSWORM關閉後，這夥威脅組織轉而在至少兩個地下論壇上推廣Nemty。

2020年3月，Nefilim勒索軟件浮出水面，這時它作為一個新的加盟項目示人，擁有名為Corporate Leaks的數據洩露網站。次月，farnetwork宣布Nemty將私有化。

圖5. Nefilim公佈受害者名單（圖片來源：Group-B）

2021年6月，改頭換面的Nefilim（名叫Karma）出現在世人面前，2021年7月Nefilim又悄無聲息。在此期間，farnetwork在尋找有關思傑VPN零日漏洞的信息。

2023年2月，farnetwork轉向RAMP論壇，聲稱他們與Nokoyawa勒索軟件合作，充當對方的招聘者和訪問管理方。

圖6. 在RAMP上推廣RaaS（圖片來源：Group-IB）

從Group-IB的研究結果來看，farnetwork被懷疑參與了開發上述幾種勒索軟件的工作，或至少參與了這幾種勒索軟件的改進和管理。它與Nefilim和Karma的關係最緊密，它們都被認為是Nemty的進化版。

圖7. farnetwork活動時間表(Group-IB)

Group-IB將不同的用戶名與這同一夥威脅組織聯繫了起來，他們換個新名字，繼續重操舊業。

建議雖然勒索軟件團伙以攻擊關鍵行業的公司而臭名昭著，但它們對所有行業的組織都構成了威脅。除了其網絡增加新成員外，farnetwork的勒索軟件聯盟計劃還為成員提供了經過升級的工具和技術，甚至提供勒索軟件投放機制。企業必須立即採取具體的步驟，以確保關鍵任務操作和數據的安全。我們的建議如下：

•增加更多層安全：多因素身份驗證（MFA）和基於憑據的訪問解決方案可以幫助企業保護其關鍵資產和高風險用戶，使攻擊者更難得逞。

•通過早期檢測阻止勒索軟件：充分利用端點檢測和響應（EDR）解決方案的行為檢測功能，幫助識別跨管理端點上的勒索軟件指標，及時提醒團隊注意任何可疑活動，以便進一步審查。這種主動的方法有助於對端點上已知和未知的威脅進行靈活地檢測、調查和補救。

•有“備份”策略：數據備份過程應該定期進行，因為它們可以減少破壞，並幫助組織在遭到勒索軟件攻擊後避免數據丟失。

•利用先進的惡意軟件引爆解決方案：組織應該充分利用結合人工智能的先進的基於分析的解決方案來實時檢測入侵。

•修補漏洞：漏洞未修補的時間越長，被網絡犯罪分子利用的風險就越大，因此，應該優先考慮安全補丁。組織還應該建立一個流程，定期審查和部署最新的補丁。

•培訓員工：教育員工，了解與組織的網絡、資產、設備和基礎設施相關的風險。人為因素仍然是網絡安全的最大漏洞之一。組織應開展培訓計劃和安全演習，以幫助員工識別和報告網絡犯罪的跡象（比如網絡釣魚電子郵件）。

•控制漏洞：不要對新出現的漏洞視而不見。每年進行一次技術審計或安全評估，以檢查你的基礎設施，這不僅是好習慣，還增加了亟需的保護層，持續監測基礎設施的完整性和數字衛生流程。

•永遠不要支付贖金：在97%的勒索軟件攻擊中，如果不解密軟件，就不可能重新獲得數據訪問權。 Group-IB的事件響應專家不建議急於支付贖金。

以牟利為動機的威脅組織會讓你支付更多錢。即使一個攻擊者返還了你的數據，另一個攻擊者也會明白你願意支付贖金，這將導致對公司的攻擊次數增加，此時你能做的最正確的事情就是盡快聯繫事件響應專家。