Nokoyawa Ransomware

Nokoyawa Ransomware є переважно невідомою загрозою, але це жодним чином не означає, що вона менш руйнівна, ніж інші, більш відомі загрози-вимагачі. Після того, як йому вдасться проникнути на цільові комп’ютери, Nokoyawa задіятиме свою процедуру шифрування та заблокує численні важливі типи файлів, знайдені на пристроях. Поки що дослідники кібербезпеки не знайшли жодних ознак того, що оператори Nokoyawa використовують методи подвійного вимагання у своїх загрозливих атаках. На практиці це означає, що хакери не збирають інформацію зі зламаних пристроїв, яку потім можуть погрожувати оприлюднити, якщо жертви вирішать не платити викуп. Більшість ідентифікованих жертв Накояви знаходяться в Південній Америці, а точніше, в Аргентині.

Згідно зі звітом, опублікованим дослідниками, в процесі шифрування Nakoyawa використовує BCryptGenRandom API і генерує нове значення для кожного цільового файлу. Він також використовує жорстко закодований одноразовий код - 'lvcelcve' і Salsa для шифрування даних жертви. Використаний ключ потім шифрується за допомогою пари ключів ECDH. Проте виявлені зразки Nakoyawa не використовували пакер, залишаючи рядки коду відкритими та легкими для аналізу.

Зв'язки з бандою вуликів

Вивчаючи загрозу, дослідники виявили багато схожості з загрозливими кампаніями, які використовували загрозу Hive Ransomware . Загроза Hive була на піку ще в 2021 році, коли їй вдалося зламати понад 300 організацій лише за чотири місяці. Навіть якщо лише частина жертв заплатить викуп за зловмисників, це все одно може призвести до того, що хакери отримають мільйонні прибутки.

Знайдених доказів достатньо, щоб підтвердити висновок про ймовірний зв’язок між двома сімействами шкідливих програм. Справді, в обох операціях корисне навантаження програм-вимагачів було доставлено на зламані пристрої за допомогою Cobalt Strike . Після цього зловмисники використовували законні, але часто використовувані інструменти, такі як антируткіт-сканер GMER для ухилення від захисту та PC Hunter для збору даних та ухилення від захисту. В обох випадках поперечне переміщення в скомпрометованій мережі було досягнуто за допомогою PsExec. Схоже, що оператори Hive, можливо, перейшли на нове сімейство шкідливих програм, можливо, за схемою RaaS (програм-вимагач як послуга), зберігаючи при цьому більшість тієї ж інфраструктури атаки.