Nokoyawa Ransomware
Nokoyawa Ransomware jest w większości nieznanym zagrożeniem, ale w żaden sposób nie oznacza to, że jest mniej destrukcyjne niż inne, bardziej znane zagrożenia ransomware. Po zinfiltrowaniu atakowanych komputerów Nokoyawa uruchomi procedurę szyfrowania i zablokuje wiele ważnych typów plików znalezionych na urządzeniach. Jak dotąd badacze cyberbezpieczeństwa nie znaleźli żadnych wskazówek, że operatorzy Nokoyawy stosują techniki podwójnego wymuszenia w swoich groźnych atakach. W praktyce oznacza to, że hakerzy nie zbierają informacji z naruszonych urządzeń, które następnie mogą zagrozić publicznym udostępnieniem, jeśli ofiary zdecydują się nie zapłacić żądanego okupu. Większość zidentyfikowanych ofiar Nakoyawa znajduje się w Ameryce Południowej, a dokładniej w Argentynie.
Według raportu opublikowanego przez badaczy, w procesie szyfrowania Nakoyawa używa interfejsu API BCryptGenRandom i generuje nową wartość dla każdego docelowego pliku. Wykorzystuje również zakodowany na sztywno kod „lvcelcve” i Salsę do szyfrowania danych ofiary. Używany klucz jest następnie szyfrowany za pomocą pary kluczy ECDH. Jednak odkryte próbki Nakoyawy nie używały pakera, pozostawiając ciągi kodu otwarte i łatwe do analizy.
Połączenia z gangiem Hive
Badając zagrożenie, naukowcy odkryli liczne podobieństwa do groźnych kampanii, które wykorzystywały zagrożenie Hive Ransomware. Zagrożenie Hive osiągnęło szczyt w 2021 roku, kiedy udało mu się włamać do ponad 300 organizacji w ciągu zaledwie czterech miesięcy. Nawet jeśli tylko ułamek ofiar zapłaci okup napastnikom, hakerzy nadal mogą zyskać miliony.
Znalezione dowody są wystarczające, aby wesprzeć wniosek o prawdopodobnym związku między dwiema rodzinami złośliwego oprogramowania. Rzeczywiście, w obu operacjach ładunki ransomware zostały dostarczone do zhakowanych urządzeń za pomocą Cobalt Strike. Następnie osoby atakujące wykorzystywały legalne, ale często nadużywane narzędzia, takie jak skaner antyrootkitowy GMER do uchylania się od obrony i PC Hunter do gromadzenia danych i uchylania się od obrony. W obu przypadkach ruch poprzeczny w zaatakowanej sieci został osiągnięty za pomocą PsExec. Wygląda na to, że operatorzy Hive mogli przejść na nową rodzinę złośliwego oprogramowania, prawdopodobnie za pośrednictwem schematu RaaS (Ransomware-as-a-Service), utrzymując większość tej samej infrastruktury ataków.
