Em uma revelação inovadora, pesquisadores de segurança cibernética identificaram um importante ator de ameaça conhecido como farnetwork, um ator-chave ligado a cinco distintos ransomware-as-a-service (Raas) programas nos últimos quatro anos.
Insights de um único “Entrevista de emprego” Processo
Grupo-IB com sede em Singapura, na tentativa de se infiltrar em um programa RaaS privado utilizando o ransomware Nokoyawa tensão, engajado em um diferencial “entrevista de emprego” processo com farnetwork. Esta abordagem não convencional forneceu informações valiosas sobre o histórico do agente da ameaça e o papel multifacetado no cenário do crime cibernético.
Iniciando sua carreira cibercriminosa em 2019, farnetwork esteve envolvido em vários projetos de ransomware conectados, contribuindo para JSWORM, Nefilim, Carma, e Nemty. Notavelmente, eles desempenharam papéis no desenvolvimento de ransomware e no gerenciamento de programas RaaS antes de se aventurarem em seu próprio programa RaaS centrado no ransomware Nokoyawa.
As muitas faces do farnetwork RaaS
Operando sob pseudônimos como farnetworkit, farnetworkl, jingo, jsworm, pipparkuka, e razvrat em fóruns underground, A farnetwork inicialmente ganhou atenção ao anunciar um trojan de acesso remoto chamado RazvRAT como fornecedor.
No 2022, A farnetwork expandiu seus horizontes mudando o foco para Nokoyawa e supostamente lançando seu próprio serviço de botnet, fornecendo aos afiliados acesso a redes corporativas comprometidas.
Esforços de recrutamento e modelo RaaS
Ao longo do ano, farnetwork tem sido ativamente vinculada aos esforços de recrutamento para o programa Nokoyawa RaaS. Candidatos potenciais são procurados para facilitar o escalonamento de privilégios usando credenciais corporativas roubadas, implantar ransomware, e exigir pagamento pelas chaves de descriptografia. O modelo RaaS aloca um 65% compartilhe com afiliados, 20% para o proprietário da botnet, e 15% para o desenvolvedor do ransomware, potencialmente caindo para 10%.
Embora Nokoyawa tenha encerrado as operações em outubro 2023, especialistas em segurança cibernética alertam que há uma grande probabilidade de a Farnetwork ressurgir com um nome diferente com um novo programa RaaS. Descrito como um ator de ameaças experiente e altamente qualificado, farnetwork continua sendo um dos players mais ativos no mercado RaaS, de acordo com Nikolai Kichatov, analista de inteligência de ameaças no Group-IB.