По следам Farnetwork: кто ответственен за создание вымогательского ПО Nokoyawa

Специалисты компании Group-IB на днях раскрыли деятельность киберпреступной сети Farnetwork, которая, как выяснилось, за последние четыре года была связана с как минимум с пятью различными программами-вымогателями, действующими по RaaS-модели.

Исследователи, которые пытались внедриться в частную RaaS-программу, использующую штамм вымогателей Nokoyawa, заявили, что прошли процесс собеседования со злоумышленниками и узнали несколько ценных сведений об их прошлом.

Николай Кичатов, аналитик по угрозам из Group-IB, сообщил, что киберпреступная карьера Farnetwork началась в 2019 году. За это время хакеры участвовали в нескольких проектах, связанных с программами-вымогателями JSWORM, Nefilim, Karma и Nemty, включая их разработку и управление.

Хакеры Farnetwork известны под разными псевдонимами, включая farnetworkit, farnetworkl, jingo, jsworm, piparkuka и razvrat. В 2022 году вектор их деятельности сместился на развитие и распространение программы-вымогателя Nokoyawa. Примерно в то же время злоумышленники запустили собственный ботнет-сервис под тем же названием Farnetwork для предоставления аффилированным лицам доступа к скомпрометированным корпоративным сетям.

С начала этого года сеть Farnetwork массово привлекала кандидатов для участия в распространении Nokoyawa, требуя от них использования украденных учётных данных для повышения привилегий и развёртывания вируса-вымогателя для шифрования файлов жертв.

Учётные данные преступники получали из логов инфостилеров, продаваемых на подпольных рынках, где другие хакеры обычно получают первоначальный доступ к целевым конечным точкам, распространяя вредоносное ПО через фишинг и рекламные кампании.

Как выяснили в Group-IB, в RaaS-модели Farnetwork аффилиаты получают 65% от суммы выкупа, владелец ботнета — 20%, а разработчик вымогательской программы — 15%, хотя в некоторых случаях доли могут немного варьироваться.

Фактически, ботнет Farnetwork используется для доступа к корпоративным сетям, исполняя роль брокера первоначального доступа (IAB). Такая модель позволяет даже малоопытным аффилиатам использовать уже предоставленный доступ к корпоративным сетям, что увеличивает эффективность и скорость распространения вымогательского ПО.

С октября 2023 года программа-вымогатель Nokoyawa прекратила свою деятельность, однако Group-IB считает, что Farnetwork, которую исследователи описали как опытного и высококвалифицированного участника рынка, может появиться вновь под другим именем и с новой RaaS-программой.