Nokoyawa Ransomware

A Nokoyawa Ransomware egy többnyire ismeretlen fenyegetés, de ez semmiképpen sem jelenti azt, hogy kevésbé pusztító, mint a többi, hírhedtebb zsarolóprogram-fenyegetés. Miután sikerült behatolnia a megcélzott számítógépekre, a Nokoyawa bekapcsolja titkosítási rutinját, és zárol számos fontos fájltípust, amelyek az eszközökön találhatók. A kiberbiztonsági kutatók egyelőre nem találtak arra utaló jelet, hogy a Nokoyawa üzemeltetői kettős zsarolási technikákat alkalmaznának fenyegető támadásaikban. A gyakorlatban ez azt jelenti, hogy a hackerek nem gyűjtenek információkat a feltört eszközökről, amelyeket aztán azzal fenyegethetnek, hogy nyilvánosan hozzáférhetővé teszik, ha az áldozatok úgy döntenek, hogy nem fizetik ki a követelt váltságdíjat. A legtöbb azonosított Nakoyawa áldozat Dél-Amerikában, pontosabban Argentínában található.

A kutatók által kiadott jelentés szerint a Nakoyawa titkosítási folyamatában a BCryptGenRandom API-t használja, és minden megcélzott fájlhoz új értéket generál. Ezenkívül egy kemény kódolt nonce - 'lvcelcve' - és Salsa kódot használ az áldozat adatainak titkosításához. A használt kulcsot ezután egy ECDH kulcspáron keresztül titkosítják. A felfedezett Nakoyawa minták azonban nem használtak csomagolót, így kódfüzéreiket szabadon hagyták és könnyen elemezhetők.

Kapcsolatok a Hive Bandával

A fenyegetés tanulmányozása során a kutatók számos hasonlóságot találtak azokkal a fenyegető kampányokkal, amelyek a Hive Ransomware fenyegetést telepítették. A Hive-fenyegetés 2021-ben érte el a csúcspontját, amikor mindössze négy hónap alatt több mint 300 szervezetet sikerült feltörnie. Még ha az áldozatok töredéke fizet is váltságdíjat a támadóknak, attól még milliós nagyságrendű nyereségük lesz a hackereknek.

A talált bizonyítékok elegendőek a két rosszindulatú programcsalád közötti valószínű kapcsolat megállapításához. Valójában mindkét műveletben a zsarolóprogramok hasznos terheit a Cobalt Strike segítségével juttatták el a feltört eszközökhöz. Ezt követően a támadók legitim, de gyakran visszaélt eszközöket alkalmaztak, mint például a GMER rootkit-ellenes szkennert a védelmi kijátszáshoz és a PC Huntert az adatgyűjtéshez és a védelmi kijátszáshoz. Mindkét esetben a sérült hálózaton belüli oldalirányú mozgás a PsExec segítségével történt. Úgy tűnik, hogy a Hive üzemeltetői áttérhettek egy új rosszindulatú programcsaládra, valószínűleg egy RaaS (Ransomware-as-a-Service) sémán keresztül, miközben fenntartották ugyanazt a támadási infrastruktúrát.