Threats
A farnetwork, um ator de ameaças de língua russo, ajudou vários programas de afiliados na criação de malware e gestão de operações de ransomware
10/11/2023
|
O operador do Ransomware-as-a-Service (RaaS) Nokoyawa, um ator de ameaças de língua russa conhecido como ‘farnetwork’, está associado a cinco grupos de ransomware. Ao longo dos anos, a farnetwork acumulou experiência ao ajudar os programas de afiliados JSWORM, Nefilim, Karma e Nemty no desenvolvimento de malware e gestão de operações. Em mensagens trocadas com analistas da Group-IB, que se faziam passar por afiliados, a farnetwork partilhou detalhes que a vinculam a várias operações de ransomware a partir de 2019, assim como a uma botnet com acesso a múltiplas redes corporativas. De acordo com o relatório da Group-IB, o ator de ameaças utiliza vários nomes de utilizador – entre os quais farnetworkl, jingo, jsworm, razvrat, piparkuka e farnetworkitand – e tem estado ativo em diversos fóruns de cibercriminosos de língua russa, procurando recrutar afiliados para operações de ransomware. Em março, a farnetwork começou a procurar afiliados para o seu programa de RaaS com base no locker Nokoyawa. No entanto, os analistas da Group-IB afirmam que o ator deixou claro que não estava envolvido no desenvolvimento do Nokoyawa. O negócio de RaaS não durou muito tempo. Recentemente, a farnetwork anunciou que iria retirar-se da cena e, no mês de outubro, encerrou o programa Nokoyawa RaaS, após divulgar os dados de 35 alvos. A Group-IB acredita que isto faz parte da estratégia do ator de ameaças para perderem o seu rumo e para, posteriormente, começarem o negócio de novo sob uma marca diferente. No ransomware Nokoyawa, a farnetwork desempenhou o papel de líder de projeto, recrutador de afiliados, promotor do RaaS em fóruns darknet e manager da botnet. Para usufruírem do benefício do acesso direto a redes já comprometidas, fornecido pela botnet, os afiliados deveriam pagar ao proprietário desta botnet 20% do dinheiro recolhido do resgate e 15% ao proprietário do ransomware. O lucro de 65% para o afiliado pode parecer pouco, tendo em conta que outros programas pagam até 85% do resgate. No entanto, o custo cobre o esforço de encontrar um alvo adequado e da respetiva violação de dados. A farnetwork testava os candidatos afiliados ao fornecer-lhes várias credenciais de contas corporativas provenientes do serviço Underground Cloud of Logs (UCL), que vende logs furtados por info-stealers como RedLine, Vidar e Raccoon. Os afiliados, por sua vez, estavam incumbidos de aumentar os seus privilégios na rede, furtar arquivos, executar o encryptor e exigir o pagamento de um resgate. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
Ciberataques exigem mais de sete meses para recuperação total
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
THREATS
Uso de anexos SVG cresce em emails de phishing para evitar a deteção
THREATS
Simuladores de movimento do rato são possíveis ciberameaças
THREATS
Cibercriminosos atacam vítimas na Europa com malware Strela Stealer
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
