Los investigadores de ciberseguridad han desenmascarado a un prolífico actor de amenazas conocido como farnetwork, que ha estado vinculado a cinco programas diferentes de ransomware como servicio (RaaS) durante los últimos cuatro años en diversas capacidades.
Group-IB, con sede en Singapur, que intentó infiltrarse en un programa RaaS privado que utiliza el Nokoyawa Secuestro de datos cepa, dijo que se sometió a un proceso de «entrevista de trabajo» con el actor de amenazas, aprendiendo varios conocimientos valiosos sobre sus antecedentes y su papel dentro de esos programas RaaS.
«A lo largo de la carrera cibercriminal del actor de amenazas, que comenzó en 2019, farnetwork ha estado involucrado en varios proyectos de ransomware conectados, incluidos JSWORM, Nefilim, Karma y Nemty, como parte de los cuales ayudaron a desarrollar ransomware y administrar los programas RaaS antes de lanzar el suyo propio. Programa RaaS basado en el ransomware Nokoyawa», dijo Nikolay Kichatov, analista de inteligencia de amenazas de Group-IB, dicho.
La última divulgación se produce casi seis meses después de que la empresa de ciberseguridad penetrara en la banda Qilin RaaS, descubriendo detalles sobre la estructura de pagos de los afiliados y el funcionamiento interno del programa RaaS.
Se sabe que Farnetwork opera bajo varios alias, como farnetworkit, farnetworkl, jingo, jsworm, piparkuka y razvrat en diferentes foros clandestinos como RAMP, inicialmente anunciando un troyano de acceso remoto llamado RazvRAT como proveedor.
En 2022, además de cambiar el enfoque hacia Nokoyawase dice que el individuo de habla rusa lanzó su propio servicio de botnet para proporcionar a los afiliados acceso a redes corporativas comprometidas.
Desde principios de año, farnetwork ha estado vinculado a los esfuerzos de reclutamiento para el programa Nokoyawa RaaS, pidiendo a los candidatos potenciales que faciliten la escalada de privilegios utilizando credenciales de cuentas corporativas robadas e implementen el ransomware para cifrar los archivos de la víctima y luego exigir el pago a cambio del clave de descifrado.
Las credenciales provienen de registros de ladrones de información vendidos en mercados clandestinos, donde otros actores de amenazas obtienen acceso inicial a los puntos finales de destino mediante la distribución de malware ladrón comercial como RedLine que, a su vez, es impulsado a través de campañas de phishing y publicidad maliciosa.
Vale la pena señalar que algunas de las credenciales proporcionadas por farnetwork aparecieron por primera vez en Nubes subterráneas de troncosun servicio que brinda acceso a información confidencial comprometida obtenida a través de ladrones de información.
El modelo RaaS permite a los afiliados recibir el 65% del monto del rescate y al propietario de la botnet recibir el 20%. El desarrollador de ransomware, por otro lado, recibe el 15% de la cuota total, una cifra que podría caer hasta el 10%.
«Desde la perspectiva del afiliado, esto introduce un enfoque novedoso, ya que no se les exige obtener acceso inicial a las redes corporativas, pueden aprovechar el acceso que ya les ha proporcionado el administrador de RaaS», dijo a The Hacker el equipo de Threat Intelligence de Group-IB. Noticias.
«Si bien esto disminuye el porcentaje del pago que recibe un afiliado, mejora la eficiencia y la velocidad de los operadores de ransomware. La botnet de Farnetwork se utiliza para obtener acceso a redes corporativas, reemplazando efectivamente el papel de los intermediarios de acceso inicial».
Desde entonces, Nokoyawa cesó sus operaciones en octubre de 2023, aunque Group-IB dijo que existe una alta probabilidad de que farnetwork resurgiera con un nombre diferente y con un nuevo programa RaaS.
«Farnetwork es un actor de amenazas experimentado y altamente capacitado», dijo Kichatov, describiendo al actor de amenazas como uno de los «jugadores más activos del mercado RaaS».