Threats

Ator de ameaças “farnetwork” vinculado a cinco grupos de ransomware

A farnetwork, um ator de ameaças de língua russo, ajudou vários programas de afiliados na criação de malware e gestão de operações de ransomware

10/11/2023

Ator de ameaças “farnetwork” vinculado a cinco grupos de ransomware

O operador do Ransomware-as-a-Service (RaaS) Nokoyawa, um ator de ameaças de língua russa conhecido como ‘farnetwork’, está associado a cinco grupos de ransomware. Ao longo dos anos, a farnetwork acumulou experiência ao ajudar os programas de afiliados JSWORM, Nefilim, Karma e Nemty no desenvolvimento de malware e gestão de operações.

Em mensagens trocadas com analistas da Group-IB, que se faziam passar por afiliados, a farnetwork partilhou detalhes que a vinculam a várias operações de ransomware a partir de 2019, assim como a uma botnet com acesso a múltiplas redes corporativas.

De acordo com o relatório da Group-IB, o ator de ameaças utiliza vários nomes de utilizador – entre os quais farnetworkl, jingo, jsworm, razvrat, piparkuka e farnetworkitand – e tem estado ativo em diversos fóruns de cibercriminosos de língua russa, procurando recrutar afiliados para operações de ransomware.

Em março, a farnetwork começou a procurar afiliados para o seu programa de RaaS com base no locker Nokoyawa. No entanto, os analistas da Group-IB afirmam que o ator deixou claro que não estava envolvido no desenvolvimento do Nokoyawa.

O negócio de RaaS não durou muito tempo. Recentemente, a farnetwork anunciou que iria retirar-se da cena e, no mês de outubro, encerrou o programa Nokoyawa RaaS, após divulgar os dados de 35 alvos. A Group-IB acredita que isto faz parte da estratégia do ator de ameaças para perderem o seu rumo e para, posteriormente, começarem o negócio de novo sob uma marca diferente.

No ransomware Nokoyawa, a farnetwork desempenhou o papel de líder de projeto, recrutador de afiliados, promotor do RaaS em fóruns darknet e manager da botnet.

Para usufruírem do benefício do acesso direto a redes já comprometidas, fornecido pela botnet, os afiliados deveriam pagar ao proprietário desta botnet 20% do dinheiro recolhido do resgate e 15% ao proprietário do ransomware.

O lucro de 65% para o afiliado pode parecer pouco, tendo em conta que outros programas pagam até 85% do resgate. No entanto, o custo cobre o esforço de encontrar um alvo adequado e da respetiva violação de dados.

A farnetwork testava os candidatos afiliados ao fornecer-lhes várias credenciais de contas corporativas provenientes do serviço Underground Cloud of Logs (UCL), que vende logs furtados por info-stealers como RedLine, Vidar e Raccoon.

Os afiliados, por sua vez, estavam incumbidos de aumentar os seus privilégios na rede, furtar arquivos, executar o encryptor e exigir o pagamento de um resgate.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº18 Junho 2024

IT SECURITY Nº18 Junho 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.