Ator de ameaças “farnetwork” vinculado a cinco grupos de ransomware

O operador do Ransomware-as-a-Service (RaaS) Nokoyawa, um ator de ameaças de língua russa conhecido como ‘farnetwork’, está associado a cinco grupos de ransomware. Ao longo dos anos, a farnetwork acumulou experiência ao ajudar os programas de afiliados JSWORM, Nefilim, Karma e Nemty no desenvolvimento de malware e gestão de operações.

Em mensagens trocadas com analistas da Group-IB, que se faziam passar por afiliados, a farnetwork partilhou detalhes que a vinculam a várias operações de ransomware a partir de 2019, assim como a uma botnet com acesso a múltiplas redes corporativas.

De acordo com o relatório da Group-IB, o ator de ameaças utiliza vários nomes de utilizador – entre os quais farnetworkl, jingo, jsworm, razvrat, piparkuka e farnetworkitand – e tem estado ativo em diversos fóruns de cibercriminosos de língua russa, procurando recrutar afiliados para operações de ransomware.

Em março, a farnetwork começou a procurar afiliados para o seu programa de RaaS com base no locker Nokoyawa. No entanto, os analistas da Group-IB afirmam que o ator deixou claro que não estava envolvido no desenvolvimento do Nokoyawa.

O negócio de RaaS não durou muito tempo. Recentemente, a farnetwork anunciou que iria retirar-se da cena e, no mês de outubro, encerrou o programa Nokoyawa RaaS, após divulgar os dados de 35 alvos. A Group-IB acredita que isto faz parte da estratégia do ator de ameaças para perderem o seu rumo e para, posteriormente, começarem o negócio de novo sob uma marca diferente.

No ransomware Nokoyawa, a farnetwork desempenhou o papel de líder de projeto, recrutador de afiliados, promotor do RaaS em fóruns darknet e manager da botnet.

Para usufruírem do benefício do acesso direto a redes já comprometidas, fornecido pela botnet, os afiliados deveriam pagar ao proprietário desta botnet 20% do dinheiro recolhido do resgate e 15% ao proprietário do ransomware.

O lucro de 65% para o afiliado pode parecer pouco, tendo em conta que outros programas pagam até 85% do resgate. No entanto, o custo cobre o esforço de encontrar um alvo adequado e da respetiva violação de dados.

A farnetwork testava os candidatos afiliados ao fornecer-lhes várias credenciais de contas corporativas provenientes do serviço Underground Cloud of Logs (UCL), que vende logs furtados por info-stealers como RedLine, Vidar e Raccoon.

Os afiliados, por sua vez, estavam incumbidos de aumentar os seus privilégios na rede, furtar arquivos, executar o encryptor e exigir o pagamento de um resgate.