Les chercheurs en cybersécurité ont démasqué un acteur menaçant prolifique connu sous le nom de farnetwork, qui a été lié à cinq programmes de ransomware-as-a-service (RaaS) différents au cours des quatre dernières années à divers titres.
Group-IB, dont le siège est à Singapour, qui a tenté d’infiltrer un programme RaaS privé utilisant la souche de ransomware Nokoyawa, a déclaré avoir subi un processus « d’entretien d’embauche » avec l’acteur malveillant, obtenant ainsi plusieurs informations précieuses sur son parcours et son rôle.
« Tout au long de la carrière cybercriminelle de l’acteur malveillant, qui a débuté en 2019, farnetwork a été impliqué dans plusieurs projets de ransomware connectés, notamment JSWORM, Nefilim, Karma et Nemty, dans le cadre desquels ils ont contribué au développement de ransomwares et à la gestion des programmes RaaS avant de lancer leur propre Programme RaaS basé sur le ransomware Nokoyawa », a déclaré Nikolay Kichatov, analyste des renseignements sur les menaces chez Group-IB.
La dernière divulgation intervient près de six mois après que la société de cybersécurité a pénétré le gang Qilin RaaS, révélant des détails sur la structure de paiement des affiliés et le fonctionnement interne du programme RaaS.
Farnetwork est connu pour opérer sous plusieurs alias tels que farnetworkit, farnetworkl, jingo, jsworm, piparkuka et razvrat sur différents forums clandestins comme RAMP, annonçant initialement un cheval de Troie d’accès à distance appelé RazvRAT en tant que fournisseur.
En 2022, en plus de se concentrer sur Nokoyawa, l’individu russophone aurait lancé son propre service de botnet pour fournir à ses affiliés un accès aux réseaux d’entreprise compromis.
Depuis le début de l’année, farnetwork a été associé aux efforts de recrutement pour le programme Nokoyawa RaaS, demandant aux candidats potentiels de faciliter l’élévation des privilèges en utilisant les identifiants de compte d’entreprise volés et de déployer le ransomware pour crypter les fichiers d’une victime, puis d’exiger un paiement en échange du clé de décryptage.
Les informations d’identification proviennent de journaux de vol d’informations vendus sur les marchés clandestins, où d’autres acteurs de la menace obtiennent un accès initial aux points finaux cibles en distribuant des logiciels malveillants prêts à l’emploi comme RedLine qui sont, à leur tour, diffusés via des campagnes de phishing et de publicité malveillante.
Le modèle RaaS permet aux affiliés de recevoir 65 % du montant de la rançon et au propriétaire du botnet de recevoir 20 %. Le développeur du ransomware, en revanche, reçoit 15 % de la part totale, un chiffre qui pourrait encore descendre jusqu’à 10 %.
Nokoyawa a depuis cessé ses activités en octobre 2023, bien que Group-IB ait déclaré qu’il y avait une forte probabilité que farnetwork refait surface sous un nom différent et avec un nouveau programme RaaS.
« Farnetwork est un acteur malveillant expérimenté et hautement qualifié », a déclaré Kichatov, décrivant l’acteur malveillant comme l’un des « acteurs les plus actifs du marché RaaS ».
