Nokoyawa Ransomware

Nokoyawa Ransomware er en for det meste ukjent trussel, men det betyr på ingen måte at den er mindre ødeleggende enn andre, mer beryktede løsepengevaretrusler. Når den har klart å infiltrere de målrettede datamaskinene, vil Nokoyawa engasjere krypteringsrutinen sin og låse en rekke viktige filtyper som finnes på enhetene. Foreløpig har ikke cybersikkerhetsforskere funnet noen indikasjon på at operatørene til Nokoyawa bruker dobbeltutpressingsteknikker i sine truende angrep. I praksis betyr dette at hackerne ikke samler inn informasjon fra enhetene som har blitt brutt, som de kan true med å gjøre offentlig tilgjengelig dersom ofrene bestemmer seg for ikke å betale den krevde løsepengen. De fleste av de identifiserte Nakoyawa-ofrene befinner seg i Sør-Amerika, og mer spesifikt, i Argentina.

I følge en rapport utgitt av forskerne bruker Nakoyawa i sin krypteringsprosess BCryptGenRandom API og genererer en ny verdi for hver målrettede fil. Den bruker også en hardkodet nonce - 'lvcelcve' og Salsa for å kryptere offerets data. Den brukte nøkkelen blir deretter kryptert gjennom et ECDH-nøkkelpar. Imidlertid brukte de oppdagede Nakoyawa-prøvene ikke en pakker, og la kodestrengene deres stå åpne og enkle å analysere.

Forbindelser til Hive-gjengen

Mens de studerte trusselen, fant forskerne mange likheter med de truende kampanjene som distribuerte Hive Ransomware -trusselen. Hive-trusselen var på topp tilbake i 2021, da den klarte å bryte over 300 organisasjoner på bare fire måneder. Selv om bare en brøkdel av ofrene betalte løsepenger til angriperne, kan det fortsatt gi hackerne millionoverskudd.

De funnet bevisene er tilstrekkelige til å støtte konklusjonen om en sannsynlig sammenheng mellom de to skadevarefamiliene. Faktisk, i begge operasjoner ble løsepengevare-nyttelastene levert til de brutte enhetene ved bruk av Cobalt Strike . Etterpå brukte angriperne legitime, men ofte misbrukte verktøy, som anti-rootkit-skanneren GMER for forsvarsunndragelse og PC Hunter for datainnsamling og forsvarsunndragelse. I begge tilfeller ble sidebevegelse innenfor det kompromitterte nettverket oppnådd via PsExec. Det ser ut til at Hive-operatørene kan ha byttet til en ny malware-familie, muligens via en RaaS (Ransomware-as-a-Service)-ordning, mens de har beholdt det meste av den samme angrepsinfrastrukturen.