Nokoyawa Ransomware

До CagedTech през Ransomwareг

Превод на:

Nokoyawa Ransomware е предимно неизвестна заплаха, но това по никакъв начин не означава, че е по-малко разрушителен от други, по-известни заплахи за рансъмуер. След като успее да проникне в целевите компютри, Nokoyawa ще включи своята рутина за криптиране и ще заключи множество важни типове файлове, открити на устройствата. Досега изследователите на киберсигурността не са открили никакви индикации, че операторите на Nokoyawa използват техники за двойно изнудване в своите заплашителни атаки. На практика това означава, че хакерите не събират информация от взломените устройства, която след това могат да заплашат да направят публично достъпна, ако жертвите решат да не плащат искания откуп. Повечето от идентифицираните жертви на Накоява се намират в Южна Америка и по-точно в Аржентина.

Според доклад, публикуван от изследователите, в процеса на криптиране Nakoyawa използва BCryptGenRandom API и генерира нова стойност за всеки целеви файл. Той също така използва твърдо кодиран nonce - 'lvcelcve' и Salsa за криптиране на данните на жертвата. Използваният ключ след това се криптира чрез двойка ключове ECDH. Откритите проби на Nakoyawa обаче не са използвали пакет за пакетиране, оставяйки кодовите си низове отворени и лесни за анализ.

Връзки с бандата на кошера

Докато изучаваха заплахата, изследователите откриха много прилики със заплашителни кампании, които разгърнаха заплахата Hive Ransomware . Заплахата Hive беше в своя пик през 2021 г., когато успя да наруши над 300 организации само за четири месеца. Дори ако само част от жертвите платят откуп на нападателите, това все пак може да остави хакерите с печалби в милиони.

Намерените доказателства са достатъчни, за да подкрепят заключението за вероятна връзка между двете семейства зловреден софтуер. Всъщност и в двете операции полезните натоварвания на ransomware бяха доставени на взломените устройства чрез използването на Cobalt Strike . След това нападателите използваха легитимни, но често злоупотребявани инструменти, като анти-руткит скенер GMER за избягване на защита и PC Hunter за събиране на данни и избягване на защита. И в двата случая страничното движение в рамките на компрометираната мрежа е постигнато чрез PsExec. Изглежда, че операторите на Hive може да са преминали към ново семейство зловреден софтуер, вероятно чрез схема RaaS (Ransomware-as-a-Service), като същевременно поддържат по-голямата част от същата инфраструктура за атака.