Nokoyawa Ransomware

يعد Nokoyawa Ransomware تهديدًا غير معروف في الغالب ، ولكن هذا لا يعني بأي حال أنه أقل تدميراً من تهديدات برامج الفدية الأخرى الأكثر شهرة. بمجرد أن يتمكن Nokoyawa من التسلل إلى أجهزة الكمبيوتر المستهدفة ، سيشترك في روتين التشفير الخاص به ويقفل العديد من أنواع الملفات المهمة الموجودة على الأجهزة. حتى الآن ، لم يعثر باحثو الأمن السيبراني على أي مؤشر على أن مشغلي نوكوياوا يستخدمون تقنيات ابتزاز مزدوج في هجماتهم التهديدية. من الناحية العملية ، هذا يعني أن المتسللين لا يجمعون المعلومات من الأجهزة التي تم اختراقها والتي قد يهددون بإتاحتها للجمهور إذا قرر الضحايا عدم دفع الفدية المطلوبة. يقع معظم ضحايا ناكوياوا الذين تم تحديدهم في أمريكا الجنوبية ، وبشكل أكثر تحديدًا في الأرجنتين.

وفقًا لتقرير صادر عن الباحثين ، في عملية التشفير الخاصة به ، يستخدم Nakoyawa BCryptGenRandom API ويقوم بإنشاء قيمة جديدة لكل ملف مستهدف. كما أنه يستخدم رمز nonce - "lvcelcve" و Salsa لتشفير بيانات الضحية. ثم يتم تشفير المفتاح المستخدم من خلال زوج مفاتيح ECDH. ومع ذلك ، فإن عينات ناكوياوا المكتشفة لم تستخدم آلة تعبئة ، تاركة سلاسل الشفرات الخاصة بها مفتوحة وسهلة التحليل.

اتصالات لعصابة الخلية

أثناء دراسة التهديد ، وجد الباحثون العديد من أوجه التشابه مع الحملات التهديدية التي نشرت تهديد Hive Ransomware . كان تهديد Hive في ذروته في عام 2021 ، عندما تمكن من اختراق أكثر من 300 منظمة في أربعة أشهر فقط. حتى لو دفع جزء بسيط من الضحايا فدية للمهاجمين ، فقد يترك ذلك للمتسللين أرباحًا بالملايين.

الأدلة التي تم العثور عليها كافية لدعم استنتاج وجود صلة محتملة بين عائلتين من البرامج الضارة. في الواقع ، في كلتا العمليتين ، تم تسليم حمولات برامج الفدية إلى الأجهزة المخترقة عبر استخدام Cobalt Strike . بعد ذلك ، استخدم المهاجمون أدوات شرعية ولكن غالبًا ما يتم إساءة استخدامها ، مثل الماسح الضوئي المضاد للجذور الخفية GMER للتهرب الدفاعي و PC Hunter لجمع البيانات والتهرب الدفاعي. في كلتا الحالتين ، تم تحقيق الحركة الجانبية داخل الشبكة المخترقة عبر PsExec. يبدو أن مشغلي Hive ربما تحولوا إلى عائلة برامج ضارة جديدة ، ربما عبر مخطط RaaS (Ransomware-as-a-Service) ، مع الحفاظ على معظم البنية التحتية للهجوم نفسها.