Um pesquisador de segurança do Group-IB descobriu uma nova ação de cooptação de afiliados do grupo de hackers Farnetwork, um dos operadores de ransomware como serviço (RaaS) mais prolíficos do mundo, que vazou muitos detalhes durante uma “entrevista de emprego”. Também conhecido como jingo, jsworm, razvrat, piparuka e farnetworkit, o grupo foi desmascarado depois de dar muitos detalhes ao pesquisador de ameaças Nikolay Kichatov, analista de inteligência de ameaças do Group-IB, que fingiu ser um potencial afiliado do grupo de ransomware Nokoyawa.
O pesquisador respondeu a um anúncio para se juntar a uma operação de RaaS e acabou em uma entrevista de emprego com um dos operadores do Farnetwork, que se suspeita estar por trás de ao menos cinco cepas diferentes de ransomware.
Depois que o pesquisador disfarçado conseguiu demonstrar que poderia executar escalonamento de privilégios, usar o ransomware para criptografar arquivos e, finalmente, exigir dinheiro por uma chave de criptografia, o cibercriminoso passou a dar detalhes.
Durante o curso de sua correspondência, o pesquisador Kichatov descobriu que o Farnetwork já tinha um ponto de apoio em várias redes corporativas e só precisava de alguém para dar o próximo passo, ou seja, implantar o ransomware e coletar dinheiro. O negócio funcionaria assim: a afiliada Nokoyawa receberia 65% do dinheiro da extorsão, o dono da botnet ficaria com 20% e o dono do ransomware receberia 15%.
Mas Nokayawa era apenas a mais recente operação de ransomware que o Farnetwork estava executando, explicou o Group-IB em seu último relatório. O operador da ameaça acabou dando detalhes suficientes para que a equipe rastreasse as atividades do grupo já em 2019. O operador se gabou para os pesquisadores do Group-IB sobre operações passadas com ransomware Nefilim e Karma, além de estar recebendo pagamentos de ransomware de até US$ 1 milhão. O bandido também mencionou trabalhos anteriores com Hive e Nemty.
Veja isso
Grupos de RaaS reveem tática devido à redução de pagamentos
Cibermercenários vendem campanha de espionagem no modelo RaaS
Essa foi a informação suficiente para a equipe do Group-IB montar um currículo prolífico de ransomware no passado do Farnetwork. De 2019 a 2021, a empresa diz que o grupo está por trás das cepas de ransomware JSWORM, Karma, Nemty e Nefilim. Só o programa RaaS do Nefilim fez mais de 40 vítimas, diz o relatório.
Além disso, no ano passado, o Farnetwork encontrou um lar com a operação Nokoyawa e, em fevereiro deste ano, estava recrutando ativamente afiliados para o programa. “Com base na linha do tempo de suas operações, é justo dizer que o Farnetwork tem sido um dos players mais ativos no mercado de Raas”, acrescenta o relatório.
Desde então, o Nokoyawa fechou sua operação de RaaS e o Farnetwork anunciou aposentadoria iminente, mas os pesquisadores do Group-IB suspeitam que o grupo de ransomware aparecerá novamente em breve com outra cepa.
“Apesar do anúncio de aposentadoria do Farnetwork e do fechamento do Nokoyawa DLS, que é o mais recente projeto conhecido do grupo, a equipe de inteligência de ameaças do Group-IB não acredita que as suas atividades serão cessadas”, diz o relatório do Group-IB. “Como aconteceu várias vezes no passado, é altamente provável que testemunhemos novos programas afiliados de ransomware e operações criminosas em grande escala orquestradas pela Farnetwork.”
Para ter acesso ao relatório do Group-IB, em inglês, clique aqui.