Nokoyawa Ransomware
Nokoyawa Ransomware çoğunlukla bilinmeyen bir tehdittir, ancak bu hiçbir şekilde diğer kötü şöhretli fidye yazılımı tehditlerinden daha az yıkıcı olduğu anlamına gelmez. Nokoyawa, hedeflenen bilgisayarlara sızmayı başardığında, şifreleme rutinini devreye sokacak ve cihazlarda bulunan çok sayıda önemli dosya türünü kilitleyecektir. Şimdiye kadar, siber güvenlik araştırmacıları, Nokoyawa operatörlerinin tehdit edici saldırılarında çifte gasp teknikleri kullandıklarına dair herhangi bir belirti bulamadılar. Pratikte bu, bilgisayar korsanlarının ihlal edilen cihazlardan bilgi toplamadığı ve kurbanlar talep edilen fidyeyi ödememeye karar verirse kamuya açık hale getirmekle tehdit edebilecekleri anlamına gelir. Tanımlanan Naköyawa kurbanlarının çoğu Güney Amerika'da ve daha spesifik olarak Arjantin'de bulunuyor.
Araştırmacılar tarafından yayınlanan bir rapora göre, Naköyawa şifreleme sürecinde BCryptGenRandom API kullanıyor ve hedeflenen her dosya için yeni bir değer üretiyor. Ayrıca, kurbanın verilerini şifrelemek için sabit kodlanmış bir nonce - 'lvcelcve' ve Salsa kullanır. Kullanılan anahtar daha sonra bir ECDH anahtar çifti aracılığıyla şifrelenir. Ancak, keşfedilen Naköyawa örnekleri bir paketleyici kullanmadı ve kod dizilerini açıkta ve analiz edilmesi kolay bir şekilde bıraktı.
Hive Çetesi ile Bağlantılar
Tehdidi incelerken araştırmacılar, Hive Ransomware tehdidini kullanan tehdit edici kampanyalarla çok sayıda benzerlik buldular. Hive tehdidi, yalnızca dört ayda 300'den fazla kuruluşu ihlal etmeyi başardığı 2021'de zirvedeydi. Kurbanların sadece bir kısmı saldırganlara fidye ödemiş olsa bile, bu yine de bilgisayar korsanlarına milyonlarca kar bırakabilir.
Bulunan kanıt, iki kötü amaçlı yazılım ailesi arasında olası bir bağlantı olduğu sonucunu desteklemek için yeterlidir. Nitekim her iki operasyonda da fidye yazılımı yükleri, Cobalt Strike kullanılarak ihlal edilen cihazlara teslim edildi. Daha sonra saldırganlar, savunma kaçırma için rootkit karşıtı tarayıcı GMER ve veri toplama ve savunma kaçırma için PC Hunter gibi meşru ancak sıklıkla kötüye kullanılan araçlar kullandılar. Her iki durumda da, güvenliği ihlal edilmiş ağ içinde yanal hareket PsExec aracılığıyla sağlandı. Görünüşe göre Hive operatörleri, aynı saldırı altyapısının çoğunu korurken, muhtemelen bir RaaS (Hizmet olarak Fidye Yazılımı) şeması aracılığıyla yeni bir kötü amaçlı yazılım ailesine geçmiş olabilir.
