Dans une révélation révolutionnaire, des chercheurs en cybersécurité ont identifié un acteur majeur de la menace connu sous le nom de farnetwork, un acteur clé lié à cinq ransomware-as-a-service (RAAS) programmes au cours des quatre dernières années.
Aperçus d'un unique “Entretien d'embauche” Processus
Group-IB basé à Singapour, dans une tentative d'infiltrer un programme RaaS privé en utilisant le Logiciel de rançon Nokoyawa souche, engagé dans une activité distinctive “entretien d'embauche” processus avec farnetwork. Cette approche non conventionnelle a fourni des informations précieuses sur les antécédents des acteurs de la menace et sur leur rôle multiforme dans le paysage cybercriminel..
Lancer leur carrière de cybercriminel dans 2019, farnetwork a été impliqué dans divers projets de ransomwares connectés, contribuer à JSWORM, Nefilim, Karma, et Nemty. Notamment, ils ont joué un rôle dans le développement de ransomwares et la gestion de programmes RaaS avant de se lancer dans leur propre programme RaaS centré sur le ransomware Nokoyawa..
Les nombreux visages du RaaS de farnetwork
Opérant sous des pseudonymes tels que farnetworkit, réseau far, jingo, jsworm, piparkuka, et razvrat sur les forums underground, farnetwork a initialement attiré l'attention en annonçant un cheval de Troie d'accès à distance nommé RazvRAT en tant que fournisseur.
Dans 2022, farnetwork a élargi ses horizons en se concentrant sur Nokoyawa et aurait lancé son propre service de botnet, fournir aux affiliés un accès à des réseaux d'entreprise compromis.
Efforts de recrutement et modèle RaaS
Tout au long de l'année, farnetwork a été activement associé aux efforts de recrutement pour le programme Nokoyawa RaaS. Des candidats potentiels sont recherchés pour faciliter l'élévation des privilèges en utilisant des informations d'identification d'entreprise volées., déployer un rançongiciel, et exiger le paiement des clés de décryptage. Le modèle RaaS attribue un 65% partager avec les affiliés, 20% au propriétaire du botnet, et 15% au développeur du ransomware, potentiellement tomber à 10%.
Alors que Nokoyawa a cessé ses activités en octobre 2023, les experts en cybersécurité préviennent qu'il existe une forte probabilité que le réseau far refait surface sous un nom différent avec un nouveau programme RaaS. Décrit comme un acteur menaçant expérimenté et hautement qualifié, farnetwork reste l'un des acteurs les plus actifs sur le marché du RaaS, selon Nikolaï Kichatov, un analyste du renseignement sur les menaces chez Group-IB.