Nokoyawa Ransomware

Nokoyawa Ransomware — это в основном неизвестная угроза, но это никоим образом не означает, что она менее разрушительна, чем другие, более известные угрозы программ-вымогателей. Как только ему удастся проникнуть на целевые компьютеры, Nokoyawa включит свою процедуру шифрования и заблокирует множество важных типов файлов, обнаруженных на устройствах. До сих пор исследователи кибербезопасности не обнаружили никаких признаков того, что операторы Nokoyawa используют методы двойного вымогательства в своих угрожающих атаках. На практике это означает, что хакеры не собирают информацию со взломанных устройств, которую они затем могут угрожать сделать общедоступной, если жертвы решат не платить требуемый выкуп. Большинство идентифицированных жертв Накоявы находятся в Южной Америке, а точнее в Аргентине.

Согласно отчету, опубликованному исследователями, в процессе шифрования Nakoyawa использует API BCryptGenRandom и генерирует новое значение для каждого целевого файла. Он также использует жестко заданный одноразовый номер — «lvcelcve» и Salsa для шифрования данных жертвы. Затем используемый ключ шифруется с помощью пары ключей ECDH. Однако в обнаруженных образцах Накоявы не использовался упаковщик, поэтому их строки кода оставались открытыми и легко анализировались.

Связи с бандой Улья

Изучая угрозу, исследователи обнаружили многочисленные сходства с угрожающими кампаниями, в которых использовалась угроза Hive Ransomware . Угроза Hive достигла своего пика еще в 2021 году, когда всего за четыре месяца ей удалось взломать более 300 организаций. Даже если лишь небольшая часть жертв заплатит злоумышленникам выкуп, это все равно может принести хакерам миллионы прибыли.

Найденных доказательств достаточно, чтобы поддержать вывод о вероятной связи между двумя семействами вредоносных программ. Действительно, в обеих операциях полезная нагрузка программы-вымогателя была доставлена на взломанные устройства с помощью Cobalt Strike . После этого злоумышленники использовали законные, но часто используемые инструменты, такие как сканер руткитов GMER для уклонения от защиты и PC Hunter для сбора данных и уклонения от защиты. В обоих случаях боковое перемещение внутри скомпрометированной сети осуществлялось с помощью PsExec. Похоже, что операторы Hive, возможно, перешли на новое семейство вредоносных программ, возможно, через схему RaaS (программа-вымогатель как услуга), сохранив при этом большую часть той же инфраструктуры атаки.