Nokoyawa Ransomware

Nokoyawa Ransomware 是一種幾乎不為人知的威脅，但這絕不意味著它的破壞性低於其他更臭名昭著的勒索軟件威脅。一旦成功滲透到目標計算機，Nokoyawa 將使用其加密程序並鎖定設備上發現的許多重要文件類型。到目前為止，網絡安全研究人員還沒有發現任何跡象表明 Nokoyawa 的運營商在他們的威脅性攻擊中使用了雙重勒索技術。在實踐中，這意味著黑客不會從被破壞的設備中收集信息，如果受害者決定不支付所要求的贖金，他們可能會威脅要公開這些信息。大多數已確定的 Nakoyawa 受害者位於南美洲，更具體地說，位於阿根廷。

根據研究人員發布的一份報告，在其加密過程中，Nakoyawa 使用 BCryptGenRandom API 並為每個目標文件生成一個新值。它還利用硬編碼的 nonce - 'lvcelcve' 和 Salsa 來加密受害者的數據。然後通過 ECDH 密鑰對對使用的密鑰進行加密。然而，發現的 Nakoyawa 樣本沒有使用打包程序，它們的代碼字符串處於開放狀態，易於分析。

與蜂巢幫的聯繫

在研究威脅時，研究人員發現與部署Hive Ransomware威脅的威脅活動有許多相似之處。 Hive 威脅在 2021 年達到頂峰，當時它在短短四個月內成功入侵了 300 多個組織。即使只有一小部分受害者向攻擊者支付了贖金，這仍然可能使黑客獲得數百萬的利潤。

發現的證據足以支持兩個惡意軟件家族之間可能存在聯繫的結論。事實上，在這兩個操作中，勒索軟件有效載荷都是通過使用Cobalt Strike傳送到被破壞的設備上的。之後，攻擊者使用了合法但經常被濫用的工具，例如用於防禦規避的反 rootkit 掃描程序 GMER 和用於數據收集和防禦規避的 PC Hunter。在這兩種情況下，受感染網絡內的橫向移動都是通過 PsExec 實現的。似乎 Hive 運營商可能已經切換到一個新的惡意軟件系列，可能通過 RaaS（勒索軟件即服務）方案，同時保持大部分相同的攻擊基礎設施。