Nokoyawa Ransomware

Nokoyawa Ransomware เป็นภัยคุกคามที่ไม่รู้จักส่วนใหญ่ แต่ก็ไม่ได้หมายความว่าจะมีการทำลายล้างน้อยกว่าภัยคุกคามแรนซัมแวร์อื่น ๆ ที่โด่งดังกว่า เมื่อจัดการแทรกซึมเข้าไปในคอมพิวเตอร์เป้าหมายแล้ว Nokoyawa จะใช้ขั้นตอนการเข้ารหัสและล็อกไฟล์สำคัญหลายประเภทที่พบในอุปกรณ์ จนถึงตอนนี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์ไม่พบข้อบ่งชี้ใด ๆ ว่าผู้ปฏิบัติงานของ Nokoyawa กำลังใช้เทคนิคการขู่กรรโชกสองครั้งในการโจมตีที่คุกคาม ในทางปฏิบัติ นี่หมายความว่าแฮ็กเกอร์จะไม่รวบรวมข้อมูลจากอุปกรณ์ที่ถูกละเมิดซึ่งพวกเขาอาจขู่ว่าจะเปิดเผยต่อสาธารณะหากเหยื่อตัดสินใจที่จะไม่จ่ายค่าไถ่ที่เรียกร้อง เหยื่อ Nakoyawa ที่ระบุส่วนใหญ่อยู่ในอเมริกาใต้ และโดยเฉพาะอย่างยิ่งในอาร์เจนตินา

ตามรายงานที่ออกโดยนักวิจัย ในกระบวนการเข้ารหัส Nakoyawa ใช้ BCryptGenRandom API และสร้างค่าใหม่สำหรับแต่ละไฟล์เป้าหมาย นอกจากนี้ยังใช้ nonce แบบฮาร์ดโค้ด - 'lvcelcve' และ Salsa เพื่อเข้ารหัสข้อมูลของเหยื่อ คีย์ที่ใช้จะถูกเข้ารหัสผ่านคู่คีย์ ECDH อย่างไรก็ตาม ตัวอย่าง Nakoyawa ที่ค้นพบไม่ได้ใช้เครื่องแพ็คกิ้ง โดยปล่อยให้สตริงโค้ดเปิดและวิเคราะห์ได้ง่าย

การเชื่อมต่อกับกลุ่มไฮฟ์

ในขณะที่ศึกษาภัยคุกคาม นักวิจัยพบว่ามีความคล้ายคลึงกันมากมายกับแคมเปญที่คุกคามซึ่งปรับใช้ภัยคุกคาม Hive Ransomware ภัยคุกคามจากกลุ่ม Hive อยู่ที่จุดสูงสุดในปี 2564 เมื่อโจมตีองค์กรได้กว่า 300 แห่งในเวลาเพียงสี่เดือน แม้ว่าจะมีเพียงเศษเสี้ยวของเหยื่อที่จ่ายค่าไถ่ให้กับผู้โจมตี แต่นั่นก็อาจทำให้แฮ็กเกอร์มีกำไรเป็นล้านได้

หลักฐานที่พบเพียงพอที่จะสนับสนุนข้อสรุปของความเชื่อมโยงที่เป็นไปได้ระหว่างมัลแวร์ทั้งสองตระกูล อันที่จริง ในการดำเนินการทั้งสองนั้น payloads ของแรนซัมแวร์ถูกส่งไปยังอุปกรณ์ที่ถูกเจาะผ่านการใช้ Cobalt Strike หลังจากนั้น ผู้โจมตีก็ใช้เครื่องมือที่ถูกต้องตามกฎหมายแต่มักถูกใช้ในทางที่ผิด เช่น เครื่องสแกนป้องกันรูทคิท GMER สำหรับการหลีกเลี่ยงการป้องกัน และ PC Hunter สำหรับการรวบรวมข้อมูลและการหลีกเลี่ยงการป้องกัน ในทั้งสองกรณี การเคลื่อนไหวด้านข้างภายในเครือข่ายที่ถูกบุกรุกทำได้โดยใช้ PsExec ดูเหมือนว่าโอเปอเรเตอร์ของ Hive อาจเปลี่ยนไปใช้กลุ่มมัลแวร์ใหม่ ซึ่งอาจใช้รูปแบบ RaaS (Ransomware-as-a-Service) ในขณะที่ยังคงรักษาโครงสร้างพื้นฐานการโจมตีส่วนใหญ่ไว้เหมือนเดิม