Nokoyawa Ransomware

תוכנת הכופר של Nokoyawa היא איום לא ידוע ברובו, אבל זה לא אומר שהיא פחות הרסנית מאיומי כופר אחרים, ידועים יותר לשמצה. לאחר שהיא תצליח לחדור למחשבים הממוקדים, נוקויאווה תפעיל את שגרת ההצפנה שלה ותנעל מספר סוגי קבצים חשובים שנמצאים במכשירים. עד כה, חוקרי אבטחת סייבר לא מצאו כל אינדיקציה לכך שמפעילי נוקויאווה משתמשים בטכניקות סחיטה כפולה בהתקפות המאיימות שלהם. בפועל, משמעות הדבר היא שההאקרים אינם אוספים מידע מהמכשירים הפורצים, שאותם הם עלולים לאיים לפרסם לציבור אם הקורבנות יחליטו שלא לשלם את הכופר הנדרש. רוב קורבנות נאקויאווה שזוהו נמצאים בדרום אמריקה, וליתר דיוק, בארגנטינה.

על פי דו"ח שפרסמו החוקרים, בתהליך ההצפנה שלה, Nakoyawa משתמש ב-BCryptGenRandom API ומייצר ערך חדש עבור כל קובץ ממוקד. הוא גם משתמש ב-nonce מקודד קשה - 'lvcelcve' ו- Salsa כדי להצפין את הנתונים של הקורבן. לאחר מכן המפתח בשימוש מוצפן באמצעות צמד מפתחות ECDH. עם זאת, דגימות Nakoyawa שהתגלו לא השתמשו ב-packer, והותירו את מחרוזות הקוד שלהן פתוחות וקלות לניתוח.

קשרים לכנופיית הייב

בזמן שחקרו את האיום, החוקרים מצאו קווי דמיון רבים עם הקמפיינים המאיימים שהפעילו את האיום כופר כופר. איום ה-Hive היה בשיאו בשנת 2021, כשהצליח לפרוץ למעלה מ-300 ארגונים תוך ארבעה חודשים בלבד. גם אם רק חלק קטן מהקורבנות שילמו כופר לתוקפים, זה עדיין עלול להשאיר את ההאקרים עם רווחים של מיליונים.

הראיות שנמצאו מספיקות כדי לתמוך במסקנה של קשר סביר בין שתי משפחות התוכנות הזדוניות. ואכן, בשתי הפעולות, עומסי תוכנת הכופר נמסרו למכשירים שנפרצו באמצעות שימוש ב- Cobalt Strike . לאחר מכן, התוקפים השתמשו בכלים לגיטימיים אך ניצלו לעתים קרובות לרעה, כגון סורק ה-Rootkit GMER להתחמקות מהגנה ו-PC Hunter לאיסוף נתונים והתחמקות מהגנה. בשני המקרים, תנועה לרוחב בתוך הרשת שנפרצה הושגה באמצעות PsExec. נראה כי ייתכן שמפעילי Hive עברו למשפחת תוכנות זדוניות חדשה, אולי באמצעות סכימת RaaS (Ransomware-as-a-Service), תוך שמירה על רוב אותה תשתית תקיפה.