Nokoyawa Ransomware

Nokoyawa Ransomware är ett mestadels okänt hot, men det betyder inte på något sätt att det är mindre destruktivt än andra, mer ökända ransomware-hot. När den väl har lyckats infiltrera de riktade datorerna kommer Nokoyawa att använda sin krypteringsrutin och låsa många viktiga filtyper som finns på enheterna. Hittills har cybersäkerhetsforskare inte hittat någon indikation på att operatörerna av Nokoyawa använder dubbel utpressningsteknik i sina hotfulla attacker. I praktiken innebär det att hackarna inte samlar in information från de intrångade enheterna som de sedan kan hota att göra allmänt tillgängliga om offren beslutar sig för att inte betala den begärda lösen. De flesta av de identifierade Nakoyawa-offren finns i Sydamerika, och mer specifikt i Argentina.

Enligt en rapport som släppts av forskarna använder Nakoyawa i sin krypteringsprocess BCryptGenRandom API och genererar ett nytt värde för varje riktad fil. Den använder också en hårdkodad nonce - 'lvcelcve' och Salsa för att kryptera offrets data. Den använda nyckeln krypteras sedan genom ett ECDH-nyckelpar. De upptäckta Nakoyawa-proverna använde dock inte en packare, vilket lämnade deras kodsträngar öppet och lätta att analysera.

Anslutningar till Hive-gänget

När de studerade hotet fann forskarna många likheter med de hotfulla kampanjerna som distribuerade Hive Ransomware - hotet. Hive-hotet var på sin topp redan 2021, då det lyckades bryta över 300 organisationer på bara fyra månader. Även om bara en bråkdel av offren betalade en lösensumma till angriparna, kan det fortfarande lämna hackarna med vinster i miljoner.

De hittade bevisen är tillräckliga för att stödja slutsatsen av ett troligt samband mellan de två skadliga programfamiljerna. I båda operationerna levererades ransomware-nyttolasten till de överträngda enheterna med hjälp av Cobalt Strike. Efteråt använde angriparna legitima men ofta missbrukade verktyg, såsom anti-rootkit-skannern GMER för försvarsflykt och PC Hunter för datainsamling och försvarsundandragande. I båda fallen uppnåddes sidorörelse inom det komprometterade nätverket via PsExec. Det verkar som att Hive-operatörerna kan ha bytt till en ny skadlig programfamilj, möjligen via ett RaaS-system (Ransomware-as-a-Service), samtidigt som de behållit det mesta av samma attackinfrastruktur.