Nokoyawa Ransomware

O Nokoyawa Ransomware é uma ameaça quase desconhecida, mas isso não significa que ela seja menos destrutiva do que outras ameaças de ransomware mais notórias. Depois de conseguir se infiltrar nos computadores visados, o Nokoyawa acionará sua rotina de criptografia e bloqueará vários tipos de arquivos importantes encontrados nos dispositivos. Até agora, os pesquisadores de segurança cibernética não encontraram nenhuma indicação de que os operadores de Nokoyawa estejam usando técnicas de dupla extorsão nos seus ataques ameaçadores. Na prática, isso significa que os hackers não coletam informações dos dispositivos violados que podem ameaçar disponibilizar publicamente se as vítimas decidirem não pagar o resgate exigido. A maioria das vítimas identificadas do Nakoyawa estão localizada na América do Sul e, mais especificamente, na Argentina.

De acordo com um relatório divulgado pelos pesquisadores, no seu processo de criptografia, o Nakoyawa usa a API BCryptGenRandom e gera um novo valor para cada arquivo alvo. Ele também utiliza um nonce codificado - 'lvcelcve' e Salsa para criptografar os dados da vítima. A chave usada é então criptografada por meio de um par de chaves ECDH. No entanto, as amostras descobertas de Nakoyawa não usavam um empacotador, deixando suas strings de código abertas e fáceis de analisar.

Conexões com a Gangue do Hive

Ao estudar a ameaça, os pesquisadores encontraram inúmeras semelhanças com as campanhas ameaçadoras que implantaram a ameaça Hive Ransomware. A ameaça Hive estava no auge em 2021, quando conseguiu invadir mais de 300 organizações em apenas quatro meses. Mesmo que apenas uma fração das vítimas pagasse um resgate aos invasores, isso ainda poderia deixar os hackers com lucros na casa dos milhões.

A evidência encontrada é suficiente para apoiar a conclusão de uma provável conexão entre as duas famílias de malware. De fato, em ambas as operações, as cargas de ransomware foram entregues nos dispositivos violados por meio do uso do Cobalt Strike. Posteriormente, os invasores empregaram ferramentas legítimas, mas muitas vezes abusadas, tais como o verificador anti-rootkit GMER para evasão de defesa e o PC Hunter para coleta de dados e evasão de defesa. Em ambos os casos, o movimento lateral dentro da rede comprometida foi obtido via PsExec. Parece que os operadores do Hive podem ter mudado para uma nova família de malware, possivelmente por meio de um esquema RaaS (Ransomware-as-a-Service), mantendo a maior parte da mesma infraestrutura de ataque.