Threat Database Ransomware 노코야와 랜섬웨어

노코야와 랜섬웨어

Nokoyawa 랜섬웨어는 거의 알려지지 않은 위협이지만, 그렇다고 해서 더 악명 높은 다른 랜섬웨어 위협보다 덜 파괴적이라는 의미는 아닙니다. 대상 컴퓨터에 침투하는 데 성공하면 Nokoyawa는 암호화 루틴을 실행하고 장치에서 발견된 수많은 중요한 파일 형식을 잠급니다. 지금까지 사이버 보안 연구원들은 Nokoyawa의 운영자가 위협적인 공격에 이중 갈취 기술을 사용하고 있다는 징후를 찾지 못했습니다. 실제로, 이는 해커가 침해된 장치에서 정보를 수집하지 않음을 의미합니다. 이 정보는 피해자가 요구한 몸값을 지불하지 않기로 결정할 경우 공개하겠다고 위협할 수 있습니다. 확인된 Nakoyawa 희생자의 대부분은 남미, 특히 아르헨티나에 있습니다.

연구원들이 발표한 보고서에 따르면 Nakoyawa는 암호화 프로세스에서 BCryptGenRandom API를 사용하고 각 대상 파일에 대해 새로운 값을 생성합니다. 또한 하드코딩된 nonce('lvcelcve')와 Salsa를 활용하여 피해자의 데이터를 암호화합니다. 사용된 키는 ECDH 키 쌍을 통해 암호화됩니다. 그러나 발견된 Nakoyawa 샘플은 패커를 사용하지 않았으므로 코드 문자열을 공개하고 분석하기 쉽습니다.

하이브 갱과의 연결

위협을 연구하는 동안 연구원들은 Hive Ransomware 위협을 배포한 위협적인 캠페인과 많은 유사점을 발견했습니다. Hive 위협은 4개월 만에 300개 이상의 조직을 침해한 2021년에 정점에 이르렀습니다. 피해자 중 일부만 공격자에게 몸값을 지불하더라도 해커는 수백만 달러의 이익을 남길 수 있습니다.

발견된 증거는 두 맬웨어 제품군 간의 연결 가능성이 있다는 결론을 뒷받침하기에 충분합니다. 실제로 두 작업에서 랜섬웨어 페이로드는 Cobalt Strike 를 사용하여 침해된 장치에 전달되었습니다. 그 후 공격자는 방어 회피를 위한 안티 루트킷 스캐너 GMER 및 데이터 수집 및 방어 회피를 위한 PC Hunter와 같은 합법적이지만 종종 남용되는 도구를 사용했습니다. 두 경우 모두 손상된 네트워크 내에서 측면 이동이 PsExec을 통해 이루어졌습니다. Hive 운영자는 동일한 공격 인프라의 대부분을 유지하면서 RaaS(Ransomware-as-a-Service) 체계를 통해 새로운 맬웨어 제품군으로 전환했을 수 있습니다.

트렌드

가장 많이 본

로드 중...