„Nokoyawa Ransomware“.
„Nokoyawa Ransomware“ yra dažniausiai nežinoma grėsmė, tačiau tai jokiu būdu nereiškia, kad ji yra mažiau žalinga nei kitos, labiau žinomos išpirkos reikalaujančios programos. Kai tik pavyks įsiskverbti į tikslinius kompiuterius, „Nokoyawa“ pradės šifruoti ir užrakins daugybę svarbių failų tipų, rastų įrenginiuose. Kol kas kibernetinio saugumo tyrinėtojai nerado jokių požymių, kad „Nokoyawa“ operatoriai savo grėsmingose atakose naudoja dvigubo turto prievartavimo būdus. Praktiškai tai reiškia, kad programišiai iš pažeistų įrenginių nerenka informacijos, kurią vėliau gali grasinti paskelbti viešai, jei aukos nuspręs nemokėti reikalaujamos išpirkos. Dauguma nustatytų Nakoyawa aukų yra Pietų Amerikoje, o tiksliau – Argentinoje.
Remiantis mokslininkų paskelbta ataskaita, Nakoyawa savo šifravimo procese naudoja BCryptGenRandom API ir sukuria naują kiekvieno tikslinio failo vertę. Aukos duomenims užšifruoti taip pat naudojamas kietasis kodas – „lvcelcve“ ir „Salsa“. Tada naudojamas raktas užšifruojamas naudojant ECDH raktų porą. Tačiau aptiktuose Nakoyawa pavyzdžiuose nebuvo naudojamas pakuotojas, todėl jų kodų eilutės liko atviros ir lengvai analizuojamos.
Ryšiai su avilio gauja
Tyrinėdami grėsmę, mokslininkai rado daug panašumų su grėsmingomis kampanijomis, kuriose buvo įdiegta Hive Ransomware grėsmė. „Hive“ grėsmė buvo didžiausia 2021 m., kai vos per keturis mėnesius jai pavyko pažeisti daugiau nei 300 organizacijų. Net jei tik dalis aukų sumokėtų išpirką užpuolikams, įsilaužėliai vis tiek galėtų gauti milijonus pelno.
Rastų įrodymų pakanka, kad būtų galima padaryti išvadą apie galimą ryšį tarp dviejų kenkėjiškų programų šeimų. Iš tiesų, abiejose operacijose išpirkos reikalaujančios programos buvo pristatytos į pažeistus įrenginius naudojant „ Cobalt Strike“ . Vėliau užpuolikai naudojo teisėtus, bet dažnai piktnaudžiaujamus įrankius, tokius kaip anti-rootkit skaitytuvas GMER, skirtas vengimui iš gynybos ir PC Hunter duomenų rinkimui ir vengimui gynyboje. Abiem atvejais šoninis judėjimas pažeistame tinkle buvo pasiektas naudojant PsExec. Panašu, kad „Hive“ operatoriai galėjo pereiti prie naujos kenkėjiškų programų šeimos, galbūt per RaaS („Ransomware-as-a-Service“) schemą, išlaikydami didžiąją dalį tos pačios atakų infrastruktūros.
