Nokoyawa Ransomware
Nokoyawa Ransomware është një kërcënim kryesisht i panjohur, por kjo në asnjë mënyrë nuk do të thotë se është më pak shkatërrues se kërcënimet e tjera, më famëkeqe ransomware. Pasi të ketë arritur të depërtojë në kompjuterët e synuar, Nokoyawa do të angazhojë rutinën e tij të enkriptimit dhe do të bllokojë shumë lloje të rëndësishme skedarësh që gjenden në pajisje. Deri më tani, studiuesit e sigurisë kibernetike nuk kanë gjetur asnjë tregues se operatorët e Nokoyawa po përdorin teknika të zhvatjes së dyfishtë në sulmet e tyre kërcënuese. Në praktikë, kjo do të thotë që hakerët nuk mbledhin informacion nga pajisjet e shkelura, të cilat më pas mund t'i kërcënojnë t'i bëjnë publike nëse viktimat vendosin të mos paguajnë shpërblimin e kërkuar. Shumica e viktimave të identifikuara të Nakoyawa ndodhen në Amerikën e Jugut, dhe më konkretisht, në Argjentinë.
Sipas një raporti të lëshuar nga studiuesit, në procesin e tij të kriptimit, Nakoyawa përdor BCryptGenRandom API dhe gjeneron një vlerë të re për çdo skedar të synuar. Ai gjithashtu përdor një nonce të koduar të fortë - 'lvcelcve' dhe Salsa për të enkriptuar të dhënat e viktimës. Çelësi i përdorur më pas kodohet përmes një çifti çelësash ECDH. Megjithatë, mostrat e zbuluara të Nakoyawa nuk përdorën një paketues, duke i lënë vargjet e tyre të kodit të hapura dhe të lehta për t'u analizuar.
Lidhjet me Bandën Hive
Ndërsa studionin kërcënimin, studiuesit gjetën ngjashmëri të shumta me fushatat kërcënuese që vendosën kërcënimin Hive Ransomware . Kërcënimi i Hive ishte në kulmin e tij në vitin 2021, kur arriti të shkelte mbi 300 organizata në vetëm katër muaj. Edhe nëse vetëm një pjesë e viktimave do të paguanin një shpërblim për sulmuesit, kjo mund t'i lërë hakerët me fitime në miliona.
Provat e gjetura janë të mjaftueshme për të mbështetur përfundimin e një lidhjeje të mundshme midis dy familjeve të malware. Në të vërtetë, në të dy operacionet, ngarkesat e ransomware iu dorëzuan pajisjeve të shkelura përmes përdorimit të Cobalt Strike . Më pas, sulmuesit përdorën mjete legjitime, por shpesh të keqpërdorura, të tilla si skaneri anti-rootkit GMER për evazionin e mbrojtjes dhe PC Hunter për mbledhjen e të dhënave dhe evazionin e mbrojtjes. Në të dyja rastet, lëvizja anësore brenda rrjetit të komprometuar u arrit nëpërmjet PsExec. Duket se operatorët Hive mund të kenë kaluar në një familje të re malware, ndoshta nëpërmjet një skeme RaaS (Ransomware-as-a-Service), duke ruajtur shumicën e të njëjtës infrastrukturë sulmi.
