Nokoyawa Ransomware
Nokoyawa Ransomware er en for det meste ukendt trussel, men det betyder på ingen måde, at den er mindre destruktiv end andre, mere berygtede ransomware-trusler. Når det er lykkedes at infiltrere de målrettede computere, vil Nokoyawa aktivere sin krypteringsrutine og låse adskillige vigtige filtyper, der findes på enhederne. Indtil videre har cybersikkerhedsforskere ikke fundet noget, der tyder på, at operatørerne af Nokoyawa bruger dobbelt-afpresningsteknikker i deres truende angreb. I praksis betyder det, at hackerne ikke indsamler oplysninger fra de brudte enheder, som de derefter kan true med at gøre offentligt tilgængelige, hvis ofrene beslutter sig for ikke at betale den krævede løsesum. De fleste af de identificerede Nakoyawa-ofre befinder sig i Sydamerika og mere specifikt i Argentina.
Ifølge en rapport udgivet af forskerne bruger Nakoyawa i sin krypteringsproces BCryptGenRandom API og genererer en ny værdi for hver målrettet fil. Den bruger også en hårdkodet nonce - 'lvcelcve' og Salsa til at kryptere ofrets data. Den brugte nøgle krypteres derefter gennem et ECDH nøglepar. De opdagede Nakoyawa-prøver brugte dog ikke en pakker, hvilket efterlod deres kodestrenge åbent og lette at analysere.
Forbindelser til Hive-banden
Mens de studerede truslen, fandt forskerne adskillige ligheder med de truende kampagner, der implementerede Hive Ransomware- truslen. Hive-truslen var på sit højeste tilbage i 2021, da det lykkedes at bryde over 300 organisationer på kun fire måneder. Selvom kun en brøkdel af ofrene betalte løsesum til angriberne, kan det stadig efterlade hackerne med en fortjeneste i millionklassen.
De fundne beviser er tilstrækkelige til at understøtte konklusionen om en sandsynlig forbindelse mellem de to malware-familier. Faktisk blev ransomware-nyttelasterne i begge operationer leveret til de brudte enheder via brugen af Cobalt Strike. Bagefter brugte angriberne legitime, men ofte misbrugte værktøjer, såsom anti-rootkit-scanneren GMER til forsvarsunddragelse og PC Hunter til dataindsamling og forsvarunddragelse. I begge tilfælde blev lateral bevægelse inden for det kompromitterede netværk opnået via PsExec. Det ser ud til, at Hive-operatørerne kan have skiftet til en ny malware-familie, muligvis via en RaaS (Ransomware-as-a-Service)-ordning, mens de har bevaret det meste af den samme angrebsinfrastruktur.
