Licence pro více zařízení (množstevní slevy)
Threat Database Ransomware Ransomware Nokoyawa

Ransomware Nokoyawa

V roce CagedTech v roce Ransomware
Přeložit do:
Čeština

Nokoyawa Ransomware je většinou neznámá hrozba, ale to v žádném případě neznamená, že je méně destruktivní než jiné, notoricky známé hrozby ransomwaru. Jakmile se mu podaří proniknout do cílových počítačů, Nokoyawa zapojí svou šifrovací rutinu a uzamkne řadu důležitých typů souborů nalezených na zařízeních. Výzkumníci v oblasti kybernetické bezpečnosti zatím nenašli žádné známky toho, že by operátoři Nokoyawy při svých hrozivých útocích používali techniky dvojitého vydírání. V praxi to znamená, že hackeři neshromažďují informace z napadených zařízení, které pak mohou pohrozit zveřejněním, pokud se oběti rozhodnou nezaplatit požadované výkupné. Většina identifikovaných obětí Nakoyawy se nachází v Jižní Americe a konkrétněji v Argentině.

Podle zprávy zveřejněné výzkumníky používá Nakoyawa ve svém procesu šifrování BCryptGenRandom API a generuje novou hodnotu pro každý cílový soubor. K šifrování dat oběti také využívá napevno zakódované nonce - 'lvcelcve' a Salsa. Použitý klíč je poté zašifrován pomocí páru klíčů ECDH. Objevené vzorky Nakoyawa však nepoužívaly packer, takže jejich kódové řetězce zůstaly otevřené a snadno analyzovatelné.

Spojení s Hive Gangem

Při studiu hrozby výzkumníci našli četné podobnosti s hrozivými kampaněmi, které nasadily hrozbu Hive Ransomware . Hrozba Hive byla na vrcholu v roce 2021, kdy se jí podařilo prolomit více než 300 organizací za pouhé čtyři měsíce. I kdyby jen zlomek obětí zaplatil útočníkům výkupné, hackeři by přesto mohli mít zisky v milionech.

Nalezené důkazy jsou dostatečné k tomu, aby podpořily závěr o pravděpodobném spojení mezi dvěma rodinami malwaru. V obou operacích byly datové části ransomwaru doručeny do narušených zařízení pomocí Cobalt Strike . Poté útočníci použili legitimní, ale často zneužívané nástroje, jako je anti-rootkit scanner GMER pro obranné úniky a PC Hunter pro sběr dat a obranné úniky. V obou případech bylo laterálního pohybu v kompromitované síti dosaženo pomocí PsExec. Zdá se, že operátoři Hive možná přešli na novou rodinu malwaru, možná prostřednictvím schématu RaaS (Ransomware-as-a-Service), při zachování většiny stejné útočné infrastruktury.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,356
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...