Nokoyawa Ransomware
Nokoyawa Ransomware on enimmäkseen tuntematon uhka, mutta se ei suinkaan tarkoita, että se olisi vähemmän tuhoisa kuin muut, pahamaineisemmat lunnasohjelmauhat. Kun Nokoyawa on onnistunut tunkeutumaan kohdetietokoneisiin, se ottaa käyttöön salausrutiininsa ja lukitsee useita tärkeitä laitteista löytyviä tiedostotyyppejä. Toistaiseksi kyberturvallisuustutkijat eivät ole löytäneet viitteitä siitä, että Nokoyawan operaattorit käyttäisivät kaksoiskiristystekniikoita uhkaavissa hyökkäyksissään. Käytännössä tämä tarkoittaa, että hakkerit eivät kerää rikotuista laitteista tietoa, jonka he voivat sitten uhata saattaa julkisesti saataville, jos uhrit päättävät olla maksamatta vaadittua lunnaita. Suurin osa tunnistetuista Nakoyawan uhreista sijaitsee Etelä-Amerikassa ja tarkemmin sanottuna Argentiinassa.
Tutkijoiden julkaiseman raportin mukaan Nakoyawa käyttää salausprosessissaan BCryptGenRandom API:ta ja luo uuden arvon jokaiselle kohdetiedostolle. Se käyttää myös kovakoodattua noncea - 'lvcelcve' - ja Salsaa uhrin tietojen salaamiseen. Käytetty avain salataan sitten ECDH-avainparilla. Löydetyissä Nakoyawa-näytteissä ei kuitenkaan käytetty pakkaajaa, joten niiden koodijonot jäivät avoimeksi ja helposti analysoitaviksi.
Yhteydet Hive Gangiin
Uhkaa tutkiessaan tutkijat löysivät lukuisia yhtäläisyyksiä Hive Ransomware -uhan käyttöön ottaneiden uhkauskampanjoiden kanssa. Hive-uhka oli huipussaan vuonna 2021, jolloin se onnistui murtautumaan yli 300 organisaatioon vain neljässä kuukaudessa. Vaikka vain murto-osa uhreista maksaisi lunnaita hyökkääjille, se voisi silti jättää hakkereille miljoonia voittoja.
Löydetyt todisteet ovat riittävät tukemaan todennäköistä yhteyttä kahden haittaohjelmaperheen välillä. Kummassakin toiminnassa kiristyshaittaohjelmat toimitettiin rikkoutuneille laitteille Cobalt Strike -ohjelman avulla. Myöhemmin hyökkääjät käyttivät laillisia, mutta usein väärin käytettyjä työkaluja, kuten anti-rootkit-skanneria GMER-skanneria puolustuksen kiertoon ja PC Hunteria tiedonkeruu- ja puolustuskiertoon. Molemmissa tapauksissa sivuttaisliike vaarantuneen verkon sisällä saavutettiin PsExecin kautta. Näyttää siltä, että Hive-operaattorit ovat saattaneet siirtyä uuteen haittaohjelmaperheeseen, mahdollisesti RaaS-järjestelmän (Ransomware-as-a-Service) kautta, säilyttäen samalla suurimman osan samasta hyökkäysinfrastruktuurista.
