Les chercheurs en cybersécurité ont démasqué un acteur menaçant prolifique connu sous le nom de farnetwork, qui a été lié à cinq programmes de ransomware-as-a-service (RaaS) différents au cours des quatre dernières années à divers titres.
Group-IB, dont le siège est à Singapour, qui a tenté d’infiltrer un programme RaaS privé utilisant le Nokoyawa rançongiciel souche, a déclaré avoir subi un processus « d’entretien d’embauche » avec l’acteur de la menace, apprenant plusieurs informations précieuses sur son parcours et son rôle au sein de ces programmes RaaS.
« Tout au long de la carrière cybercriminelle de l’acteur malveillant, qui a débuté en 2019, farnetwork a été impliqué dans plusieurs projets de ransomware connectés, notamment JSWORM, Nefilim, Karma et Nemty, dans le cadre desquels ils ont contribué au développement de ransomwares et à la gestion des programmes RaaS avant de lancer leur propre Programme RaaS basé sur le ransomware Nokoyawa”, Nikolay Kichatov, analyste des renseignements sur les menaces chez Group-IB, dit.
La dernière divulgation intervient près de six mois après que la société de cybersécurité a pénétré le gang Qilin RaaS, révélant des détails sur la structure de paiement des affiliés et le fonctionnement interne du programme RaaS.
Farnetwork est connu pour opérer sous plusieurs alias tels que farnetworkit, farnetworkl, jingo, jsworm, piparkuka et razvrat sur différents forums clandestins comme RAMP, annonçant initialement un cheval de Troie d’accès à distance appelé RazvRAT en tant que fournisseur.
En 2022, en plus de se concentrer sur Nokoyawal’individu russophone aurait lancé son propre service de botnet pour permettre à ses affiliés d’accéder aux réseaux d’entreprise compromis.
Depuis le début de l’année, farnetwork a été associé aux efforts de recrutement pour le programme Nokoyawa RaaS, demandant aux candidats potentiels de faciliter l’élévation des privilèges en utilisant les identifiants de compte d’entreprise volés et de déployer le ransomware pour crypter les fichiers d’une victime, puis d’exiger un paiement en échange du clé de décryptage.
Les informations d’identification proviennent de journaux de vol d’informations vendus sur les marchés clandestins, où d’autres acteurs de la menace obtiennent un accès initial aux points finaux cibles en distribuant des logiciels malveillants prêts à l’emploi comme RedLine qui sont, à leur tour, diffusés via des campagnes de phishing et de publicité malveillante.
Il convient de noter que certaines des informations d’identification fournies par farnetwork sont apparues pour la première fois dans Nuages souterrains de bûchesun service qui donne accès à des informations confidentielles compromises obtenues grâce à des voleurs d’informations.
Le modèle RaaS permet aux affiliés de recevoir 65 % du montant de la rançon et au propriétaire du botnet de recevoir 20 %. Le développeur du ransomware, en revanche, reçoit 15 % de la part totale, un chiffre qui pourrait encore descendre jusqu’à 10 %.
“Du point de vue de l’affilié, cela introduit une nouvelle approche car ils ne sont pas obligés d’obtenir eux-mêmes un accès initial aux réseaux d’entreprise, ils peuvent tirer parti de l’accès qui a déjà été fourni par le responsable RaaS”, a déclaré l’équipe Threat Intelligence de Group-IB à The Hacker. Nouvelles.
« Bien que cela diminue le pourcentage de paiement reçu par un affilié, cela améliore l’efficacité et la rapidité des opérateurs de ransomware. Le botnet de Farnetwork est utilisé pour accéder aux réseaux d’entreprise, remplaçant ainsi le rôle des courtiers d’accès initiaux.
Nokoyawa a depuis cessé ses activités en octobre 2023, bien que Group-IB ait déclaré qu’il y avait une forte probabilité que farnetwork refait surface sous un nom différent et avec un nouveau programme RaaS.
“Farnetwork est un acteur menaçant expérimenté et hautement qualifié”, a déclaré Kichatov, décrivant l’acteur menaçant comme l’un des “acteurs les plus actifs du marché RaaS”.




