Threat Actor Farnetwork Linked to Five Ransomware Schemes
2023/11/08 InfoSecurity — セキュリティ研究者たちが公表したのは、過去数年間にわたって複数の RaaS (Ransomware-as-a-Service) プログラムに関与し、現在は別のプログラムを展開している脅威アクターの情報である。Group-IB は新しいレポートの中で、”farnetwork” は遅くとも 2019年から活動しており、アンダーグラウンドでは farnetworkl/jingo/jsworm/razvrat/piparkuka/farnetworkit として活動していると主張している。
2019年〜2021年にかけて、この脅威アクターは JSWorm/Karma/Nemty/Nefilim などの RaaS スキームに関与していた。Group-IB のレポートが主張するのは、このフループはランサムウェアを開発し、アフィリエイト・プログラムの管理を支援しているというものだ。
2022年には、ある人物が独自の RaaS プログラムである ”Nokoyawa” を立ち上げ、企業ネットワークへのアクセス権を、ボットネットを介してアフィリエイトに提供したと考えられている。このモデルでは、アフィリエイトは身代金の 65%を受け取り、ボットネット所有者には 20%、ランサムウェア所有者はに 15% が分配されると、Group-IBは述べている。
2023年10の時点において、Nokoyawa のリークサイトには 35人の被害者がリストアップされている。
Group-IB は、「Nokoyawa ベースの farnetwork RaaS プログラムに参加したい ”候補者” は、テスト課題をクリアしなければならない。このテストでは、標的とするネットワーク内での権限昇格を容易にするために、漏洩している企業アカウントの認証情報 (ログイン+パスワード) が、 farnetwork から提供される。合格者は特権を実行し、ランサムウェアを使用して被害者のファイルを暗号化し、復号化のための支払いを要求しなければならない」と詳述する。
この脅威グループに関する情報収集の一環として、Group-IB は Nokoyawa への潜入を試み、この情報を入手した。
Group-IB は、「たいていの場合、”リクルーター” から得た情報をもとに RaaS プログラムの内部構造を説明するだけだが、今回のケースは違った。新たなランサムウェア・アフィリエイト・プログラムの “面接” を行った脅威アクターは、彼らの RaaS プロジェクトに関する貴重な情報の宝庫を共有しただけでなく、彼らの経歴や様々な RaaS プログラム内での役割についての洞察も提供してくれた」と述べている。
たまに見かける Nokoyawa ですが、このブログの中を検索したところ、2023/04/11 に「Windows のゼロデイ脆弱性 CVE-2023-28252:Nokoyawa ランサムウェアが悪用している」という記事がありました。その他にも、文中に Nokoyawa が登場する記事も、いくつかありました。よろしければ、Nokoyawa で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.