Threat Database Ransomware Nokoyawa Ransomware

Nokoyawa Ransomware

Le Nokoyawa Ransomware est une menace pour la plupart inconnue, mais cela ne signifie en aucun cas qu'il est moins destructeur que d'autres menaces de ransomware plus notoires. Une fois qu'il a réussi à infiltrer les ordinateurs ciblés, Nokoyawa engagera sa routine de cryptage et verrouillera de nombreux types de fichiers importants trouvés sur les appareils. Jusqu'à présent, les chercheurs en cybersécurité n'ont trouvé aucune indication que les opérateurs de Nokoyawa utilisent des techniques de double extorsion dans leurs attaques menaçantes. En pratique, cela signifie que les pirates ne collectent pas d'informations sur les appareils piratés qu'ils peuvent ensuite menacer de rendre publiques si les victimes décident de ne pas payer la rançon demandée. La plupart des victimes identifiées de Nakoyawa se trouvent en Amérique du Sud, et plus précisément en Argentine.

Selon un rapport publié par les chercheurs, dans son processus de cryptage, Nakoyawa utilise l'API BCryptGenRandom et génère une nouvelle valeur pour chaque fichier ciblé. Il utilise également un nonce codé en dur - "lvcelcve" et Salsa pour chiffrer les données de la victime. La clé utilisée est ensuite cryptée via une paire de clés ECDH. Cependant, les échantillons de Nakoyawa découverts n'utilisaient pas de packer, laissant leurs chaînes de code ouvertes et faciles à analyser.

Liens avec le Hive Gang

En étudiant la menace, les chercheurs ont trouvé de nombreuses similitudes avec les campagnes menaçantes qui ont déployé la menace Hive Ransomware. La menace Hive était à son apogée en 2021, lorsqu'elle a réussi à violer plus de 300 organisations en seulement quatre mois. Même si seulement une fraction des victimes payait une rançon aux attaquants, cela pourrait encore laisser les pirates avec des profits de plusieurs millions.

Les preuves trouvées sont suffisantes pour étayer la conclusion d'un lien probable entre les deux familles de logiciels malveillants. En effet, dans les deux opérations, les charges utiles du ransomware ont été transmises aux appareils piratés via l'utilisation de Cobalt Strike. Par la suite, les attaquants ont utilisé des outils légitimes mais souvent abusés, tels que le scanner anti-rootkit GMER pour l'évasion de la défense et PC Hunter pour la collecte de données et l'évasion de la défense. Dans les deux cas, le mouvement latéral au sein du réseau compromis a été réalisé via PsExec. Il semble que les opérateurs de Hive soient passés à une nouvelle famille de logiciels malveillants, éventuellement via un schéma RaaS (Ransomware-as-a-Service), tout en conservant la plupart de la même infrastructure d'attaque.

Tendance

Le plus regardé

Chargement...