Un attore di minaccia di lingua russa, noto come ‘Farnetwork‘, è stato collegato a cinque diverse operazioni di ransomware, guadagnando esperienza nel campo attraverso lo sviluppo di malware e la gestione delle operazioni. Secondo un rapporto di Group-IB, farnetwork ha iniziato la sua attività nel 2019, partecipando a operazioni ransomware e gestendo un botnet che dava accesso a molteplici reti aziendali.
Il ruolo di Farnetwork nella gestione ransomware
Nel suo ruolo, l’attore ha agito come leader di progetto e reclutatore di affiliati, promuovendo il RaaS sui forum del darknet e gestendo un botnet che permetteva accessi diretti a reti aziendali compromesse. Gli affiliati pagavano una percentuale per l’accesso, che includeva il 20% al proprietario del botnet e il 15% al proprietario del ransomware, lasciando una quota del 65% per l’affiliato.
Evoluzione e strategie di Farnetwork
Group-IB ha tracciato le attività di farnetwork fino al gennaio 2019, rivelando connessioni con i ceppi di ransomware JSWORM, Nemty, Nefilim e Karma. Farnetwork ha promosso vari programmi di RaaS e malware, e ha cercato vulnerabilità zero-day per espandere le sue operazioni. Nonostante l’annuncio del ritiro, Group-IB sospetta che la chiusura del programma Nokoyawa RaaS possa essere una mossa strategica per iniziare un nuovo capitolo sotto un altro nome.
Impatto sulla sicurezza informatica
La rivelazione del coinvolgimento di farnetwork in diverse gang di ransomware sottolinea la necessità di una vigilanza costante nel campo della sicurezza informatica. Le operazioni di ransomware sono fluide, con attori di minaccia che si adattano e si reinventano per continuare le loro attività illecite.