Threat Database Ransomware Nokoyawa Ransomware

Nokoyawa Ransomware

Nokoyawa Ransomware je večinoma neznana grožnja, vendar to nikakor ne pomeni, da je manj uničujoča od drugih, bolj razvpitih groženj izsiljevalske programske opreme. Ko se uspe infiltrirati v ciljne računalnike, bo Nokoyawa uporabila svojo rutino šifriranja in zaklenila številne pomembne vrste datotek, ki jih najdemo v napravah. Doslej raziskovalci kibernetske varnosti niso našli nobenega znaka, da bi operaterji Nokoyawe v svojih grozečih napadih uporabljali tehnike dvojnega izsiljevanja. V praksi to pomeni, da hekerji iz vlomljenih naprav ne zbirajo podatkov, ki bi jih lahko nato zagrozili, da jih bodo javno objavili, če se žrtve odločijo, da ne bodo plačale zahtevane odkupnine. Večina identificiranih žrtev Nakoyawe se nahaja v Južni Ameriki, natančneje v Argentini.

Glede na poročilo, ki so ga objavili raziskovalci, Nakoyawa v svojem procesu šifriranja uporablja API BCryptGenRandom in ustvari novo vrednost za vsako ciljno datoteko. Za šifriranje žrtvinih podatkov uporablja tudi trdo kodiran nonce - 'lvcelcve' in Salsa. Uporabljeni ključ se nato šifrira s parom ključev ECDH. Vendar pa odkriti vzorci Nakoyawa niso uporabljali pakerja, zato so njihove kodne nize pustili odprte in jih je bilo enostavno analizirati.

Povezave s Hive Gang

Med preučevanjem grožnje so raziskovalci odkrili številne podobnosti z grozečimi kampanjami, ki so uporabljale grožnjo Hive Ransomware . Grožnja Hive je bila na vrhuncu leta 2021, ko ji je v samo štirih mesecih uspelo vdreti v več kot 300 organizacij. Tudi če bi le del žrtev plačal odkupnino napadalcem, bi lahko hekerji še vedno prinesli milijonske dobičke.

Najdeni dokazi zadostujejo za sklepanje o verjetni povezavi med obema družinama zlonamerne programske opreme. Dejansko so bili v obeh operacijah koristne obremenitve izsiljevalske programske opreme dostavljene v poškodovane naprave z uporabo Cobalt Strike . Nato so napadalci uporabili zakonita, a pogosto zlorabljena orodja, kot sta anti-rootkit skener GMER za izogibanje obrambi in PC Hunter za zbiranje podatkov in obrambo. V obeh primerih je bilo bočno premikanje znotraj ogroženega omrežja doseženo prek PsExec. Zdi se, da so operaterji Hive morda prešli na novo družino zlonamerne programske opreme, morda prek sheme RaaS (Ransomware-as-a-Service), medtem ko so ohranili večino iste napadalne infrastrukture.

V trendu

Najbolj gledan

Nalaganje...