Nokoyawa Ransomware

Il Nokoyawa Ransomware è una minaccia per lo più sconosciuta, ma ciò non significa in alcun modo che sia meno distruttivo di altre minacce ransomware più famigerate. Una volta che è riuscito a infiltrarsi nei computer presi di mira, Nokoyawa attiverà la sua routine di crittografia e bloccherà numerosi tipi di file importanti trovati sui dispositivi. Finora, i ricercatori della sicurezza informatica non hanno trovato alcuna indicazione che gli operatori di Nokoyawa stiano utilizzando tecniche di doppia estorsione nei loro attacchi minacciosi. In pratica, ciò significa che gli hacker non raccolgono informazioni dai dispositivi violati che potrebbero poi minacciare di rendere pubblicamente disponibili se le vittime decidono di non pagare il riscatto richiesto. La maggior parte delle vittime identificate di Nakoyawa si trovano in Sud America e, più specificamente, in Argentina.

Secondo un rapporto pubblicato dai ricercatori, nel suo processo di crittografia, Nakoyawa utilizza l'API BCryptGenRandom e genera un nuovo valore per ogni file di destinazione. Utilizza anche un nonce hardcoded - "lvcelcve" e Salsa per crittografare i dati della vittima. La chiave utilizzata viene quindi crittografata tramite una coppia di chiavi ECDH. Tuttavia, i campioni Nakoyawa scoperti non utilizzavano un packer, lasciando le loro stringhe di codice aperte e facili da analizzare.

Collegamenti con la banda dell'alveare

Durante lo studio della minaccia, i ricercatori hanno trovato numerose somiglianze con le campagne minacciose che hanno distribuito la minaccia Hive Ransomware. La minaccia Hive ha raggiunto il suo apice nel 2021, quando è riuscita a violare oltre 300 organizzazioni in soli quattro mesi. Anche se solo una frazione delle vittime pagasse un riscatto agli aggressori, ciò potrebbe comunque lasciare agli hacker profitti di milioni.

Le prove trovate sono sufficienti a supportare la conclusione di una probabile connessione tra le due famiglie di malware. Infatti, in entrambe le operazioni, i payload del ransomware sono stati consegnati ai dispositivi violati tramite l'uso di Cobalt Strike. Successivamente, gli aggressori hanno utilizzato strumenti legittimi ma spesso abusati, come lo scanner anti-rootkit GMER per l'evasione della difesa e PC Hunter per la raccolta dei dati e l'evasione della difesa. In entrambi i casi, il movimento laterale all'interno della rete compromessa è stato ottenuto tramite PsExec. Sembra che gli operatori di Hive siano passati a una nuova famiglia di malware, possibilmente tramite uno schema RaaS (Ransomware-as-a-Service), pur mantenendo la maggior parte della stessa infrastruttura di attacco.