In una rivelazione rivoluzionaria, I ricercatori di sicurezza informatica hanno identificato un importante attore di minacce noto come farnetwork, un attore chiave legato a cinque distinti ransomware-as-a-service (RAAS) programmi negli ultimi quattro anni.
Approfondimenti da un unico “Colloquio di lavoro” Processo
Gruppo-IB con sede a Singapore, nel tentativo di infiltrarsi in un programma RaaS privato utilizzando il file Nokoyawa ransomware sforzo, impegnato in un distintivo “colloquio di lavoro” processo con farnetwork. Questo approccio non convenzionale ha fornito preziose informazioni sul background dell'autore della minaccia e sul suo ruolo poliedrico nel panorama della criminalità informatica.
Iniziare la carriera di criminale informatico in 2019, farnetwork è stato coinvolto in vari progetti ransomware collegati, contribuendo a JSWORM, Nefilim, Karma, e Nemty. In particolare, hanno svolto un ruolo nello sviluppo di ransomware e nella gestione dei programmi RaaS prima di avventurarsi nel proprio programma RaaS incentrato sul ransomware Nokoyawa.
I molti volti di Farnetwork RaaS
Operando sotto pseudonimi come farnetworkit, farnetworkl, gingo, jsworm, piparkuka, e razvrat sui forum clandestini, farnetwork inizialmente ha attirato l'attenzione pubblicizzando un trojan di accesso remoto chiamato RazvRAT come fornitore.
In 2022, farnetwork ha ampliato i propri orizzonti spostando l'attenzione su Nokoyawa e, secondo quanto riferito, lanciando il proprio servizio botnet, fornire agli affiliati l'accesso a reti aziendali compromesse.
Sforzi di reclutamento e modello RaaS
Durante l'anno, farnetwork è stato attivamente collegato agli sforzi di reclutamento per il programma Nokoyawa RaaS. Si cercano potenziali candidati per facilitare l'escalation dei privilegi utilizzando credenziali aziendali rubate, distribuire il ransomware, e richiedere il pagamento per le chiavi di decrittazione. Il modello RaaS assegna a 65% condividere con gli affiliati, 20% al proprietario della botnet, e 15% allo sviluppatore del ransomware, potenzialmente cadere a 10%.
Mentre Nokoyawa ha cessato le operazioni in ottobre 2023, gli esperti di sicurezza informatica avvertono che esiste un'alta probabilità che la rete farnetwork riemerga sotto un nome diverso con un nuovo programma RaaS. Descritto come un attore di minacce esperto e altamente qualificato, farnetwork rimane uno degli attori più attivi nel mercato RaaS, secondo Nikolaj Kichatov, un analista di intelligence sulle minacce presso Group-IB.