Pesquisadores de cibersegurança desmascararam um prolífico ator de ameaças conhecido como farnetwork, que foi associado a cinco diferentes programas de ransomware como serviço (RaaS) nos últimos quatro anos em diversas capacidades.
O Group-IB, com sede em Singapura, que tentou se infiltrar em um programa privado de RaaS que usa a variante de ransomware Nokoyawa, afirmou que passou por um processo de "entrevista de emprego" com o ator de ameaças, aprendendo diversas informações valiosas sobre seu histórico e papel dentro desses programas de RaaS.
"Ao longo da carreira cibercriminosa do ator de ameaças, que começou em 2019, o farnetwork esteve envolvido em diversos projetos de ransomware interligados, incluindo JSWORM, Nefilim, Karma e Nemty, nos quais ajudou a desenvolver ransomware e gerenciar os programas de RaaS antes de lançar seu próprio programa de RaaS baseado no ransomware Nokoyawa", disse Nikolay Kichatov, analista de inteligência de ameaças no Group-IB.
A última revelação ocorreu quase seis meses depois que a empresa de cibersegurança penetrou na gangue de RaaS Qilin, descobrindo detalhes sobre a estrutura de pagamento dos afiliados e o funcionamento interno do programa de RaaS.
Farnetwork é conhecido por operar sob vários nomes, como farnetworkit, farnetworkl, jingo, jsworm, piparkuka e razvrat em diferentes fóruns underground como o RAMP, inicialmente anunciando um trojan de acesso remoto chamado RazvRAT como vendedor.
Em 2022, além de trocar o foco para Nokoyawa, diz-se que o indivíduo de língua russa lançou seu próprio serviço de botnet para fornecer aos afiliados acessos a redes corporativas comprometidas.
Desde o início do ano, farnetwork foi associado a esforços de recrutamento para o programa Nokoyawa RaaS, solicitando a candidatos potenciais que facilitassem a escalada de privilégios usando credenciais de contas corporativas roubadas e implementassem o ransomware para criptografar os arquivos de uma vítima, e então exigir pagamento em troca da chave de descriptografia.
As credenciais são obtidas a partir de logs de ladrões de informações vendidos em mercados underground, onde outros atores de ameaças obtêm acesso inicial aos endpoints de destino distribuindo malware de ladrão fora da prateleira, como o RedLine, que são, por sua vez, veiculados através de campanhas de phishing e malvertising.
Vale a pena notar que algumas das credenciais fornecidas por farnetwork apareceram pela primeira vez na Underground Clouds of Logs, um serviço que fornece acesso a informações confidenciais comprometidas obtidas por meio de ladrões de informações.
O modelo de RaaS permite que os afiliados recebam 65% do valor do resgate e que o dono da botnet receba 20%.
O desenvolvedor do ransomware, por outro lado, recebe 15% do total compartilhado, número que pode cair ainda mais para 10%.
"Do ponto de vista do afiliado, isso introduz uma abordagem inovadora, já que eles não são obrigados a obter acesso inicial às redes corporativas por conta própria, eles podem alavancar o acesso que já foi fornecido pelo gerente de RaaS", a equipe de Inteligência de Ameaças do Group-IB contou ao The Hacker News.
"Embora isso diminua a porcentagem do pagamento que um afiliado recebe, aumenta a eficiência e velocidade dos operadores de ransomware.
A botnet do farnetwork é utilizada para obter acesso às redes corporativas, substituindo efetivamente a função de corretores de acesso inicial."
Nokoyawa encerrou suas operações a partir de outubro de 2023, embora o Group-IB tenha afirmado que é muito provável que o farnetwork ressurja sob um nome diferente e com um novo programa de RaaS.
"Farnetwork é um ator de ameaças experiente e altamente habilidoso", disse Kichatov, descrevendo o ator da ameaça como um dos "jogadores mais ativos do mercado de RaaS".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...