Group-IBはこのほど、「Ransomware manager: Investigation into farnetwork, a threat actor linked to five strains of ransomware|Group-IB Blog」において、ランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)と複数のランサムウェアの活動に関連したとされるサイバー攻撃者「Farnetwork」の調査結果を報告した。

  • Ransomware manager: Investigation into farnetwork、a threat actor linked to five strains of ransomware|Group-IB Blog

    Ransomware manager: Investigation into farnetwork, a threat actor linked to five strains of ransomware|Group-IB Blog

Group-IBの研究者はFarnetworkとプライベートチャットにて、現在のミッションと過去の活動について洞察を共有したと説明。今回公開された調査報告では、これら洞察や過去に収集されたデータに基づいて、Farnetworkの活動を詳細に分析している。Farnetworkは経験豊富で高度な技術を持つサイバー攻撃者であり、関与したランサムウェアプロジェクトでは多数の被害者と多額の損害をもたらしたとされる。

調査報告によると、Farnetworkは2019年ごろからサイバー犯罪者として活動を開始。JSWORM、Nefilim、Karma、Nemtyを含む複数のランサムウェアプロジェクトに関与し、ランサムウェアの開発やRaaSの管理を支援。その後、ランサムウェア「Nokoyawa」を使用した独自のRaaSを立ち上げたとされる。2023年6月19日、Farnetworkはチームの募集停止と事業からの撤退を発表し、2023年10月にデータ漏洩サイトの活動を停止したという。しかしながら、Group-IBの研究者はFarnetworkが別の名称で活動を再開するのは時間の問題と予測している。

Group-IBはこのような脅威から企業のミッションクリティカルなシステムやデータを保護するために、次のような対策を推奨している。

  • 多要素認証(MFA: Multi-Factor Authentication)と資格情報を用いた認証ソリューションを導入する
  • エンドポイント検出応答(EDR: Endpoint Detection and Response)ソリューションを導入する。管理対象のエンドポイント全体でランサムウェアの活動を速やかに検出、警告し、調査できるようにする
  • 定期的にイミュータブルバックアップを取り、バックアップを復元できることを確認する
  • 人工知能(AI: Artificial Intelligence)を活用した高度なマルウェア検出ソリューションを導入する
  • 脆弱性に対するセキュリティパッチを速やかに適用できるように体制を整える
  • 組織のネットワーク、資産、デバイス、インフラストラクチャに関連するリスクについて従業員を教育する。特にフィッシングメールなどサイバー攻撃の明らかな兆候を認識して報告できるように訓練する
  • インフラストラクチャをチェックする技術監査またはセキュリティ評価を定期的に行う

万が一、ランサムウェアの被害に遭った場合は、身代金の支払いをせずに専門の企業または組織に速やかに相談することが推奨されている。身代金を支払った場合、サイバー攻撃者はその情報を共有し、別の攻撃者により執拗な攻撃を受ける可能性が高くなるという。

企業や組織においては普段からセキュリティ専門企業や組織と情報共有できる体制を整え、システムと従業員を保護し、攻撃を受けた場合には速やかに被害の拡大を防止してシステム全体の修復ができるようにベストプラクティスを実践することが望まれている。