Nokoyawa Ransomware
De Nokoyawa Ransomware is een grotendeels onbekende bedreiging, maar dat betekent op geen enkele manier dat het minder destructief is dan andere, meer beruchte ransomware-bedreigingen. Zodra het erin is geslaagd om de beoogde computers te infiltreren, zal Nokoyawa zijn coderingsroutine inschakelen en tal van belangrijke bestandstypen op de apparaten vergrendelen. Tot nu toe hebben cybersecurity-onderzoekers geen enkele aanwijzing gevonden dat de operators van Nokoyawa dubbele afpersingstechnieken gebruiken bij hun dreigende aanvallen. In de praktijk betekent dit dat de hackers geen informatie van de gehackte apparaten verzamelen die ze vervolgens kunnen dreigen openbaar te maken als de slachtoffers besluiten het gevraagde losgeld niet te betalen. De meeste geïdentificeerde Nakoyawa-slachtoffers bevinden zich in Zuid-Amerika, en meer specifiek in Argentinië.
Volgens een rapport dat door de onderzoekers is vrijgegeven, gebruikt Nakoyawa in zijn coderingsproces de BCryptGenRandom API en genereert het een nieuwe waarde voor elk gericht bestand. Het gebruikt ook een hardcoded nonce - 'lvcelcve' en Salsa om de gegevens van het slachtoffer te versleutelen. De gebruikte sleutel wordt vervolgens versleuteld via een ECDH-sleutelpaar. De ontdekte Nakoyawa-samples maakten echter geen gebruik van een packer, waardoor hun codereeksen open en gemakkelijk te analyseren waren.
Verbindingen met de Hive Gang
Tijdens het bestuderen van de dreiging vonden de onderzoekers tal van overeenkomsten met de bedreigende campagnes die de Hive Ransomware- dreiging ontplooiden. De Hive-dreiging was op zijn hoogtepunt in 2021, toen het in slechts vier maanden tijd meer dan 300 organisaties wist te doorbreken. Zelfs als slechts een fractie van de slachtoffers losgeld zou betalen aan de aanvallers, zou dat de hackers nog steeds met miljoenen winsten kunnen opleveren.
Het gevonden bewijs is voldoende om de conclusie van een waarschijnlijk verband tussen de twee malwarefamilies te ondersteunen. Bij beide operaties werden de ransomware-payloads inderdaad afgeleverd op de gehackte apparaten via het gebruik van Cobalt Strike. Daarna gebruikten de aanvallers legitieme maar vaak misbruikte tools, zoals de anti-rootkitscanner GMER voor het ontwijken van defensie en PC Hunter voor het verzamelen van gegevens en het ontwijken van defensie. In beide gevallen werd zijwaartse beweging binnen het gecompromitteerde netwerk bereikt via PsExec. Het lijkt erop dat de Hive-operators mogelijk zijn overgestapt op een nieuwe malwarefamilie, mogelijk via een RaaS-schema (Ransomware-as-a-Service), terwijl ze de meeste van dezelfde aanvalsinfrastructuur behouden.
