In einer bahnbrechenden Offenbarung, Cybersicherheitsforscher haben einen großen Bedrohungsakteur namens Farnetwork identifiziert, ein Schlüsselspieler, der mit fünf verschiedenen verbunden ist Ransomware-as-a-Service (RAAS) Programme der letzten vier Jahre.
Einblicke von einem Einzigartigen “Vorstellungsgespräch” Prozess
Group-IB mit Sitz in Singapur, in einem Versuch, ein privates RaaS-Programm unter Verwendung des zu infiltrieren Nokoyawa-Ransomware Belastung, engagiert sich in einer unverwechselbaren “Vorstellungsgespräch” Prozess mit Farnetwork. Dieser unkonventionelle Ansatz lieferte wertvolle Einblicke in den Hintergrund und die vielfältige Rolle des Bedrohungsakteurs in der Cyberkriminalitätslandschaft.
Sie beginnen ihre Karriere als Cyberkriminelle 2019, farnetwork war an verschiedenen damit verbundenen Ransomware-Projekten beteiligt, Beitrag zu JSWORM, Nefilim, Karma, und Nemty. Vor allem, Sie spielten eine Rolle bei der Entwicklung von Ransomware und der Verwaltung von RaaS-Programmen, bevor sie sich an ihr eigenes RaaS-Programm rund um die Nokoyawa-Ransomware wagten.
Die vielen Gesichter von Farnetwork RaaS
Betrieb unter Pseudonymen wie farnetworkit, fernnetzwerkl, Jingo, jsworm, piparkuka, und Razvrat in Untergrundforen, Farnetwork machte zunächst auf sich aufmerksam, indem es einen Fernzugriffstrojaner namens RazvRAT als Anbieter bewarb.
In 2022, Farnetwork erweiterte seinen Horizont, indem es seinen Fokus auf Nokoyawa verlagerte und Berichten zufolge einen eigenen Botnet-Dienst startete, Bereitstellung von Zugang zu kompromittierten Unternehmensnetzwerken für Partner.
Rekrutierungsbemühungen und RaaS-Modell
Während des ganzen Jahres, farnetwork war aktiv an Rekrutierungsbemühungen für das Nokoyawa RaaS-Programm beteiligt. Es wird nach potenziellen Kandidaten gesucht, um die Eskalation von Privilegien mithilfe gestohlener Unternehmensanmeldeinformationen zu ermöglichen, Ransomware einsetzen, und die Zahlung für Entschlüsselungsschlüssel verlangen. Das RaaS-Modell weist a zu 65% an verbundene Unternehmen weitergeben, 20% an den Botnet-Besitzer, und 15% an den Ransomware-Entwickler, möglicherweise auf fallen 10%.
Während Nokoyawa im Oktober den Betrieb einstellte 2023, Cybersicherheitsexperten weisen darauf hin, dass die Wahrscheinlichkeit hoch ist, dass Farnetwork mit einem neuen RaaS-Programm unter einem anderen Namen wieder auftaucht. Wird als erfahrener und hochqualifizierter Bedrohungsakteur beschrieben, farnetwork bleibt einer der aktivsten Player im RaaS-Markt, laut Nikolay Kitschatow, ein Threat-Intelligence-Analyst bei Group-IB.