Nokoyawa Ransomware

Nokoyawa Ransomware 是一种几乎不为人知的威胁，但这绝不意味着它的破坏性低于其他更臭名昭著的勒索软件威胁。一旦成功渗透到目标计算机，Nokoyawa 将使用其加密程序并锁定设备上发现的许多重要文件类型。到目前为止，网络安全研究人员还没有发现任何迹象表明 Nokoyawa 的运营商在他们的威胁性攻击中使用了双重勒索技术。在实践中，这意味着黑客不会从被破坏的设备中收集信息，如果受害者决定不支付所要求的赎金，他们可能会威胁要公开这些信息。大多数已确定的 Nakoyawa 受害者位于南美洲，更具体地说，位于阿根廷。

根据研究人员发布的一份报告，在其加密过程中，Nakoyawa 使用 BCryptGenRandom API 并为每个目标文件生成一个新值。它还利用硬编码的 nonce - 'lvcelcve' 和 Salsa 来加密受害者的数据。然后通过 ECDH 密钥对对使用的密钥进行加密。然而，发现的 Nakoyawa 样本没有使用打包程序，它们的代码字符串处于开放状态，易于分析。

与蜂巢帮的联系

在研究威胁时，研究人员发现与部署Hive Ransomware威胁的威胁活动有许多相似之处。 Hive 威胁在 2021 年达到顶峰，当时它在短短四个月内成功入侵了 300 多个组织。即使只有一小部分受害者向攻击者支付了赎金，这仍然可能使黑客获得数百万的利润。

发现的证据足以支持两个恶意软件家族之间可能存在联系的结论。事实上，在这两个操作中，勒索软件有效载荷都是通过使用Cobalt Strike传送到被破坏的设备上的。之后，攻击者使用了合法但经常被滥用的工具，例如用于防御规避的反 rootkit 扫描程序 GMER 和用于数据收集和防御规避的 PC Hunter。在这两种情况下，受感染网络内的横向移动都是通过 PsExec 实现的。似乎 Hive 运营商可能已经切换到一个新的恶意软件系列，可能通过 RaaS（勒索软件即服务）方案，同时保持大部分相同的攻击基础设施。