Recientemente, se ha descubierto que un actor de amenazas de habla rusa, conocido como Farnetwork, está vinculado a cinco bandas de ransomware diferentes. En este artículo proporcionaremos una visión detallada de esta situación, explicando el fenómeno del ransomware, el papel de Farnetwork en el ciberespacio y las implicaciones de estas conexiones.
El operador de Ransomware como Servicio (RaaS) de Nokoyawa, conocido en el mundo del cibercrimen como 'farnetwork', ha ganado experiencia colaborando en el desarrollo de malware y la gestión de operaciones para programas afiliados como JSWORM, Nefilim, Karma y Nemty.
Podría interesarte leer: Ransomware as a Service: Una Amenaza Alarmante
Un análisis detallado de Group-IB revela la trayectoria de farnetwork y su ascenso como un participante clave en el mercado del ransomware. A través de interacciones con analistas de inteligencia de amenazas, farnetwork ha revelado información crucial, vinculándolos con actividades de ransomware que se remontan a 2019 y una botnet con acceso a redes corporativas extensas.
El informe de Group-IB destaca que farnetwork, conocido también bajo varios alias como farnetworkl, jingo, jsworm, razvrat, piparkuka y farnetworkitand, ha mostrado una presencia activa en foros de hackers de habla rusa, buscando reclutar afiliados para diversas operaciones de ransomware.
En marzo, farnetwork empezó a buscar socios para su propio RaaS basado en el casillero Nokoyawa. Sin embargo, según los analistas de Group-IB, farnetwork aclaró que no participó en el desarrollo de Nokoyawa.
La gestión de este negocio de RaaS por parte de farnetwork fue breve. Recientemente anunciaron su retirada del escenario cibernético y en octubre, cerraron el programa Nokoyawa RaaS, tras la filtración de datos de 35 víctimas.
Group-IB sospecha que esta retirada podría ser una táctica del actor de amenazas para despistar y potencialmente reiniciar sus actividades bajo una nueva marca.
Te podría interesar leer: Detección de Ataques de Ransomware con Wazuh
Rol de Farnetwork en Ransomware Nokoyawa
Farnetwork, en el ransomware Nokoyawa, desempeñó múltiples roles incluyendo líder de proyecto, reclutador de afiliados, promotor en foros de la darknet y administrador de una botnet.
Esta botnet proporcionaba a los afiliados acceso directo a redes comprometidas. A cambio de este acceso, los afiliados debían pagar el 20% del rescate al propietario de la botnet, mientras que el dueño del ransomware recibía un 15%. Aunque esto dejaba solo un 65% para el afiliado, este modelo era atractivo ya que reducía la carga de identificar y vulnerar objetivos.
Farnetwork evaluaba a los afiliados potenciales proporcionándoles credenciales de cuentas corporativas obtenidas del servicio Underground Cloud of Logs (UCL), un mercado de registros robados por malware como RedLine, Vidar y Raccoon. Los afiliados tenían la tarea de escalar privilegios, robar archivos, ejecutar el cifrado y solicitar el rescate.
Podría interesarte leer: Presentación de la Versión Actualizada de Raccoon Stealer.
Historial de Actividades de Farnetwork
Group-IB ha rastreado las actividades de farnetwork desde enero de 2019, revelando conexiones con los ransomware JSWORM, Nemty, Nefilim y Karma.
- Abril 2019: Farnetwork promociona JSWORM RaaS en el foro Exploit, anunciando también el malware RazvRAT.
- Agosto 2019: Tras el cierre de JSWORM, farnetwork promueve Nemty en varios foros clandestinos rusos.
- Marzo 2020: Surge Nefilim, con un sitio de filtración de datos llamado Corporate Leaks. En abril, farnetwork anuncia que Nemty se volverá privado.
- Junio 2021: Aparece Karma, probablemente una reinvención de Nefilim. En julio, Nefilim se silencia. Durante este tiempo, farnetwork indaga sobre una vulnerabilidad de día cero en Citrix VPN.
- Febrero 2023: Farnetwork se une al foro RAMP, trabajando con Nokoyawa como reclutador y administrador de acceso.
En resumen, la actividad de Farnetwork tiene importantes implicaciones para la seguridad cibernética mundial. Demuestra cómo los actores de amenazas pueden colaborar y evolucionar rápidamente para eludir las medidas de seguridad existentes. Además, pone de manifiesto la necesidad de una cooperación internacional más sólida en la lucha contra el cibercrimen.
El descubrimiento de la conexión de Farnetwork con cinco bandas de ransomware es un recordatorio de que el panorama de las amenazas cibernéticas está en constante cambio. Las organizaciones deben permanecer vigilantes y proactivas en sus esfuerzos de ciberseguridad para protegerse contra estas amenazas cada vez más sofisticadas. La colaboración y el intercambio de información serán cruciales para anticipar y mitigar los ataques de actores como Farnetwork en el futuro.