研究人员成功揭露网络犯罪分子信息

关键要点

• 研究人员伪装成加盟商，与经验丰富的网络犯罪分子farnetwork接触，获取其五年来的作案细节。
• Farnetwork自2019年以来参与多个勒索病毒项目，包括Nokoyawa和Nemty，并在2022年推出了自己的RaaS程序。
• 该网络犯罪分子曝光了勒索款项的利润分配结构，并透露其在网络攻击中的策略。
• 虽然宣布退休，但研究团队认为farnetwork可能不会真的退出网络犯罪业务。

研究人员成功地将优势反转，促使一位经验丰富的网络犯罪分子揭露了他作为多个勒索病毒行动核心人物的五年职业生涯的细节。在试图以有心加盟者的身份渗透一个私有的勒索病毒服务（RaaS）程序时，Group- IB的研究人员与这名被称为farnetwork的威胁行为者建立了联系。

在一次“面试”中，farnetwork告诉研究人员他自2022年起管理NokoyawaRaaS加盟项目，同时还运营一个用于为加盟商提供访问被攻陷企业网络的僵尸网络。根据Group-IB的威胁情报分析师NikolayKichatov在11月8日的中所述，从farnetwork分享的信息中，以及进一步的调查，Group- IB能够拼凑出这位讲俄语的威胁行为者的背景，追溯至2019年。

Farnetwork的强大履历

自2019年以来，farnetwork（曾使用化名farnetworkl、jingo、jsworm、razvrat、piparkuka和farnetworkit）参与了多个勒索病毒项目，包括JSWORM、Karma、和。farnetwork帮助开发勒索病毒，并管理这些项目的RaaS程序，直到在2022年推出了以为基础的RaaS程序。

Nefilim已知勒索超过40名受害者，而Nokoyawa的专门泄密网站上含有与35名受害者相关的信息。

“这名威胁行为者具体提到，他们并不是Nokoyawa的开发者，而且不允许加盟商攻击医疗和卫生组织，”Kichatov在博客文章中说道。

“在交流中，farnetwork还分享了他们目前正在针对一名受到‘中国或台湾影响、通过其哥伦比亚分公司入侵’的受害者，并准备开始谈判。”

farnetwork表示，他们在2019年管理的RaaS项目——Group- IB认为是Nemty——最初每名受害者的勒索支付平均为100万美元，后来降至约60万美元。

RaaS如何在加盟商之间分配勒索利润

farnetwork告诉Group-IB，成功实施攻击的Nokoyawa的勒索病毒加盟商获得65%的赎金，其余20%归僵尸网络所有者，15%归开发者。

在其他RaaS团伙中，加盟商通常能够获得高达85%的赎金，但在farnetwork的计划中，加盟商不需要自己入侵网络。相反，他们由farnetwork接入已被攻陷的网络。

“因此，加盟商只需要提升权限、提取敏感数据并加密目标网络，这就解释了利润分配与行业平均水平的不同，”Kichatov表示。

farnetwork表示，随着时间推移，分配给Nokoyawa加盟商的勒索收入比例有所增加，同时平均赎金要求也在上升。该威胁行为者称，赎金所有者的份额最终可能降至10%。

不太可能的退役

今年6月，farnetwork在暗网宣布将停止招募加盟商，表示有意从勒索病毒业务中退休。Nokoyawa的专门泄漏网站